亜細亜ノ蛾 - Weblog

MTOS・MT4.1 の PHP テンプレート化で脆弱性を発見

• 更新: 2008 年 01 月 16 日 09:59
• 2008 年 01 月 09 日 22:11 に asiamoth が投稿
• タグ: MovableType, template, PHP
• カテゴリー: Movable Type
• コメント (2)
• トラックバックする

MTOS・MT4.1 の不具合

2008-01-10T21:02:01+09:00 追記

「大人の事情」で記事を修正しました（詳しくは聞かないように！）。

2008-01-12T17:59:03+09:00 追記

MTOS version 4.1-en-release-27-r1206-20080112 で、下記の不具合が修正されていました。MT4.1x も、近日中に修正されるでしょう。

けっこう、クリティカルな不具合だったらしく、速攻で直していただけました。

（MT ユーザと six Apart の役に立てて うれしいゼ！）

2008-01-16T09:37:48+09:00 追記

Six Apart - Movable Type News: 【重要】 Movable Type 新バージョンとパッチの提供について

本件の不具合を修正したバージョン・パッチの提供が始まりました。なんと、MT3.21 から MT4 まで、幅広く関わる不具合だったようです。早急にアップデート・パッチの適用を行ったほうが良いですね。

「パッチ……？」 つ Windows環境で「ファイルにパッチ（patch）を当てる」 : 亜細亜ノ蛾 - Weblog

MTOS と MT4.1 で、不具合（脆弱性）を発見し（てしまい）ました。

• 不具合を確認したバージョン
  • MT4.1b2-en
  • MTOS-4.1-ja-release-26-r1151-20080108
  • （未確認だが、他の MT4.1x も同じだと思う）
• 具体的な症状
  • 「ある URL」にアクセスすると、テンプレートの内容が（処理されずに）HTMLで表 示される場合がある
  • それによって、PHP のソースコードが第三者に見られる

すでに six Apart に報告済みなので、そのうち対処されるでしょう。

（とは言え、けっこう修正は面倒くさそうな所なんだよなぁ）

考えられる被害

環境によっては、致命的な不具合かと思います。

すべてのテンプレートを確認して、

PHP のソースコード内にパスワード情報が含まれていないか確認

したほうが良いと思います。

余談

いやー、とうとう自分もバグ報告デビューですよ。憎むべきバグも、見付けたときは、ちょっぴり うれしい。

今回の「ある URL」は、第三者から ものすごく簡単に見られるので、ちょっと技術があれば何万件もの PHP ソースコードが簡単に GET できる。その中から数件でも DB へのログインパスワードが見つかれば──ね。

なので、みなさんに周知したいし、でも悪意ある人には見られたくないし──と、ちょっと公開を考えました。しかし、今回の件にかかわらず、何らかのきっかけで PHP のソースコードは見られる可能性がある、というのを考えに入れたほうが良いのかも。と思って記事を書きました。

自分の場合、その「何らかのきっかけ」が起こるタイミングが今回わかったので、ラッキィでした。自分でスクリプトを書くときには気をつけよう。

そんなこんなで、また MT4.x への移行が遅れるのであった──。