私のサイトの Movable Type を 5.031 ⇒ 5.04 にアップデートしました。尚、5.031 ⇒ 5.04 の差分は、Movable Type 5.04/4.28リリース(前バージョンとの差分ファイル一覧つき): 小粋空間 に詳しいです。

「Movable Type」にXSSとSQLインジェクションの脆弱性、修正版に更新を -INTERNET Watch

 シックス・アパート株式会社は8日、「Movable Type 4.28」および「Movable Type 5.04」を公開した。「Movable Type 4」「Movable Type 5」に見つかった複数の脆弱性について修正したバージョンで、アップグレードを強く推奨している。

 Movable Type 5.031および4.27以前のバージョンでは、アプリケーション上の入力項目の一部において適切に入力エスケープ処理されないため、クロスサイトスクリプティング(XSS)およびSQLインジェクションが発生する恐れがあるという。リモートの第三者によって、データベースを不正に閲覧・変更されたり、ユーザーのウェブブラウザー上で任意のスクリプトを実行される可能性がある。

 独立行政法人情報処理推進機構(IPA)でも、Movable Typeの脆弱性について注意を呼びかけている。

ipa1-00.jpgSQLインジェクションの概要(IPAのプレスリリースより)



トラックバックURL:
https://serene.sakura.ne.jp/blog/2010/12/10/1500/625.php/trackback

Leave a Comment

CAPTCHA


blank