MTOS・MT4.1 の不具合
2008-01-10T21:02:01+09:00 追記
「大人の事情」で記事を修正しました(詳しくは聞かないように!)。
2008-01-12T17:59:03+09:00 追記
MTOS version 4.1-en-release-27-r1206-20080112 で、下記の不具合が修正されていました。MT4.1x も、近日中に修正されるでしょう。
けっこう、クリティカルな不具合だったらしく、速攻で直していただけました。
(MT ユーザと six Apart の役に立てて うれしいゼ!)
2008-01-16T09:37:48+09:00 追記
Six Apart – Movable Type News: 【重要】 Movable Type 新バージョンとパッチの提供について
本件の不具合を修正したバージョン・パッチの提供が始まりました。なんと、MT3.21 から MT4 まで、幅広く関わる不具合だったようです。早急にアップデート・パッチの適用を行ったほうが良いですね。
「パッチ……?」 つ Windows環境で「ファイルにパッチ(patch)を当てる」 : 亜細亜ノ蛾
MTOS と MT4.1 で、不具合(脆弱性)を発見し(てしまい)ました。
- 不具合を確認したバージョン
- MT4.1b2-en
- MTOS-4.1-ja-release-26-r1151-20080108
- (未確認だが、他の MT4.1x も同じだと思う)
- 具体的な症状
- 「ある URL」にアクセスすると、テンプレートの内容が(処理されずに)HTMLで表
示される場合がある
- それによって、PHP のソースコードが第三者に見られる
すでに six Apart に報告済みなので、そのうち対処されるでしょう。
(とは言え、けっこう修正は面倒くさそうな所なんだよなぁ)
考えられる被害
環境によっては、致命的な不具合かと思います。
すべてのテンプレートを確認して、
PHP のソースコード内にパスワード情報が含まれていないか確認
したほうが良いと思います。
余談
いやー、とうとう自分もバグ報告デビューですよ。憎むべきバグも、見付けたときは、ちょっぴり うれしい。
今回の「ある URL」は、第三者から ものすごく簡単に見られるので、ちょっと技術があれば何万件もの PHP ソースコードが簡単に GET できる。その中から数件でも DB へのログインパスワードが見つかれば──ね。
なので、みなさんに周知したいし、でも悪意ある人には見られたくないし──と、ちょっと公開を考えました。しかし、今回の件にかかわらず、何らかのきっかけで PHP のソースコードは見られる可能性がある、というのを考えに入れたほうが良いのかも。と思って記事を書きました。
自分の場合、その「何らかのきっかけ」が起こるタイミングが今回わかったので、ラッキィでした。自分でスクリプトを書くときには気をつけよう。
そんなこんなで、また MT4.x への移行が遅れるのであった──。
MT4 に移行できない私的理由はコメント欄
Movable Type
Movable Type4 へ移行
水面下で着々と MT4 への移行準備が進んでいます──が、速度はナメクジ程度。
「何をそんなに時間がかかる部分があるのか」と自分でも思う。デザイン(テンプレートと CSS)は、丸ごと Vicuna から頂戴して、少しずつ自分仕様に直してます。
mt.Vicuna 2.x から、一段とモジュール化が洗練されて、いじりやすくなってます!
コメント周辺
ずっと悩んでいるのは、コメント周辺の設計。
ぶっちゃけ「一年で 10 数件コメントが付けば儲け物」、という当ブログ(涙)ですが、一時期「一日 10 件 spam」な状況になっていたので、いろいろとスパム対策を試しました。
けっきょく、「CGI リネーム法」移行、機械的なスパム投稿は 0 件です。
真説・対spam最終兵器 CGIリネーム烈伝 : 亜細亜ノ蛾
──いまだに、「一日 100 件くらいスパムが届く」という人は、導入を検討しては いかがでしょうか? そっくり そのまま真似なくても、数日おきに CGI をリネームするだけでも、効果はありますよ。
ただ、スパム以外にも悩ましい問題があって……。
続きを読む