MTOS・MT4.1 の PHP テンプレート化で脆弱性を発見

Movable Type

シェアする

MTOS・MT4.1 の不具合

2008-01-10T21:02:01+09:00 追記

「大人の事情」で記事を修正しました(詳しくは聞かないように!)。


2008-01-12T17:59:03+09:00 追記

MTOS version 4.1-en-release-27-r1206-20080112 で、下記の不具合が修正されていました。MT4.1x も、近日中に修正されるでしょう。

けっこう、クリティカルな不具合だったらしく、速攻で直していただけました。

(MT ユーザと six Apart の役に立てて うれしいゼ!)


2008-01-16T09:37:48+09:00 追記

Six Apart – Movable Type News: 【重要】 Movable Type 新バージョンとパッチの提供について

本件の不具合を修正したバージョン・パッチの提供が始まりました。なんと、MT3.21 から MT4 まで、幅広く関わる不具合だったようです。早急にアップデート・パッチの適用を行ったほうが良いですね。

「パッチ……?」 つ Windows環境で「ファイルにパッチ(patch)を当てる」 : 亜細亜ノ蛾

MTOS と MT4.1 で、不具合(脆弱性)を発見し(てしまい)ました。

  • 不具合を確認したバージョン
    • MT4.1b2-en
    • MTOS-4.1-ja-release-26-r1151-20080108
    • (未確認だが、他の MT4.1x も同じだと思う)
  • 具体的な症状
    • 「ある URL」にアクセスすると、テンプレートの内容が(処理されずに)HTMLで表
      示される      場合がある
    • それによって、PHP のソースコードが第三者に見られる

すでに six Apart に報告済みなので、そのうち対処されるでしょう。

(とは言え、けっこう修正は面倒くさそうな所なんだよなぁ)

考えられる被害

環境によっては、致命的な不具合かと思います。

すべてのテンプレートを確認して、

PHP のソースコード内にパスワード情報が含まれていないか確認

したほうが良いと思います。

余談

いやー、とうとう自分もバグ報告デビューですよ。憎むべきバグも、見付けたときは、ちょっぴり うれしい。

今回の「ある URL」は、第三者から ものすごく簡単に見られるので、ちょっと技術があれば何万件もの PHP ソースコードが簡単に GET できる。その中から数件でも DB へのログインパスワードが見つかれば──ね。

なので、みなさんに周知したいし、でも悪意ある人には見られたくないし──と、ちょっと公開を考えました。しかし、今回の件にかかわらず、何らかのきっかけで PHP のソースコードは見られる可能性がある、というのを考えに入れたほうが良いのかも。と思って記事を書きました。

自分の場合、その「何らかのきっかけ」が起こるタイミングが今回わかったので、ラッキィでした。自分でスクリプトを書くときには気をつけよう。

そんなこんなで、また MT4.x への移行が遅れるのであった──。

コメント

  1. より:
    2008-01-16 09:52

    こんにちは。
    この記事を読んだ時点で、「多分mt-view.cgiのことだろう」と推測しましたが、やはりそうだったようです。
    修正版が今朝リリースされていました。
    http://www.sixapart.jp/movabletype/news/2008/01/15-1826.html

    返信
  2. asiamoth より:
    2008-01-16 10:04

    壱さん、コメントありがとうございます!
    実は昨夜、6A の中の人から直接メールで情報をいただいたのでした(ビックリ)。
    MT がどんどん洗練されていく、そのお手伝いができて良かったです。

    返信