MTOS・MT4.1 の不具合
2008-01-10T21:02:01+09:00 追記
「大人の事情」で記事を修正しました(詳しくは聞かないように!)。
2008-01-12T17:59:03+09:00 追記
MTOS version 4.1-en-release-27-r1206-20080112 で、下記の不具合が修正されていました。MT4.1x も、近日中に修正されるでしょう。
けっこう、クリティカルな不具合だったらしく、速攻で直していただけました。
(MT ユーザと six Apart の役に立てて うれしいゼ!)
2008-01-16T09:37:48+09:00 追記
Six Apart – Movable Type News: 【重要】 Movable Type 新バージョンとパッチの提供について
本件の不具合を修正したバージョン・パッチの提供が始まりました。なんと、MT3.21 から MT4 まで、幅広く関わる不具合だったようです。早急にアップデート・パッチの適用を行ったほうが良いですね。
「パッチ……?」 つ Windows環境で「ファイルにパッチ(patch)を当てる」 : 亜細亜ノ蛾
MTOS と MT4.1 で、不具合(脆弱性)を発見し(てしまい)ました。
- 不具合を確認したバージョン
- MT4.1b2-en
- MTOS-4.1-ja-release-26-r1151-20080108
- (未確認だが、他の MT4.1x も同じだと思う)
- 具体的な症状
- 「ある URL」にアクセスすると、テンプレートの内容が(処理されずに)HTMLで表
示される場合がある - それによって、PHP のソースコードが第三者に見られる
- 「ある URL」にアクセスすると、テンプレートの内容が(処理されずに)HTMLで表
すでに six Apart に報告済みなので、そのうち対処されるでしょう。
(とは言え、けっこう修正は面倒くさそうな所なんだよなぁ)
考えられる被害
環境によっては、致命的な不具合かと思います。
すべてのテンプレートを確認して、
PHP のソースコード内にパスワード情報が含まれていないか確認
したほうが良いと思います。
余談
いやー、とうとう自分もバグ報告デビューですよ。憎むべきバグも、見付けたときは、ちょっぴり うれしい。
今回の「ある URL」は、第三者から ものすごく簡単に見られるので、ちょっと技術があれば何万件もの PHP ソースコードが簡単に GET できる。その中から数件でも DB へのログインパスワードが見つかれば──ね。
なので、みなさんに周知したいし、でも悪意ある人には見られたくないし──と、ちょっと公開を考えました。しかし、今回の件にかかわらず、何らかのきっかけで PHP のソースコードは見られる可能性がある、というのを考えに入れたほうが良いのかも。と思って記事を書きました。
自分の場合、その「何らかのきっかけ」が起こるタイミングが今回わかったので、ラッキィでした。自分でスクリプトを書くときには気をつけよう。
そんなこんなで、また MT4.x への移行が遅れるのであった──。
コメント
こんにちは。
この記事を読んだ時点で、「多分mt-view.cgiのことだろう」と推測しましたが、やはりそうだったようです。
修正版が今朝リリースされていました。
http://www.sixapart.jp/movabletype/news/2008/01/15-1826.html
壱さん、コメントありがとうございます!
実は昨夜、6A の中の人から直接メールで情報をいただいたのでした(ビックリ)。
MT がどんどん洗練されていく、そのお手伝いができて良かったです。