私のサイトの Movable Type を 5.031 ⇒ 5.04 にアップデートしました。尚、5.031 ⇒ 5.04 の差分は、Movable Type 5.04/4.28リリース(前バージョンとの差分ファイル一覧つき): 小粋空間 に詳しいです。
「Movable Type」にXSSとSQLインジェクションの脆弱性、修正版に更新を -INTERNET Watch
シックス・アパート株式会社は8日、「Movable Type 4.28」および「Movable Type 5.04」を公開した。「Movable Type 4」「Movable Type 5」に見つかった複数の脆弱性について修正したバージョンで、アップグレードを強く推奨している。
Movable Type 5.031および4.27以前のバージョンでは、アプリケーション上の入力項目の一部において適切に入力エスケープ処理されないため、クロスサイトスクリプティング(XSS)およびSQLインジェクションが発生する恐れがあるという。リモートの第三者によって、データベースを不正に閲覧・変更されたり、ユーザーのウェブブラウザー上で任意のスクリプトを実行される可能性がある。
独立行政法人情報処理推進機構(IPA)でも、Movable Typeの脆弱性について注意を呼びかけている。
SQLインジェクションの概要(IPAのプレスリリースより)
Movable Type 5.031 がリリースされました。
Movable Type 5.031 の提供を開始 | MovableType.jp
Movable Type 5.03 で確認された問題の修正バージョンとして、Movable Type 5.031 の提供を開始します。本リリースには、セキュリティに関する修正は含まれません。Movable Type 5.031 の変更点は、以下一点のみとなります。
Movable Type 5.03 リリースされたのでバージョン・アップしました。Movable Type 5.03 で修正された問題は、5.03 リリースノート で確認できます。
Movable Type 5.03 の提供を開始 : Movable Type News – Six Apart
Movable Type 5.03 の提供を開始
Movable Type 5.02 で確認された問題の修正バージョンとして、Movable Type 5.03 の提供を開始します。本リリースには、セキュリティに関する修正は含まれません。Movable Type 5.03 の変更点の詳細は以下ページを参照してください。
テーマをエクスポートする時に選択肢が増えます。「ウェブサイトまたはブログのウェブページをテーマにエクスポート」ということですから、「ブログテーマのエクスポート」する時にページを作成していればエクスポートの選択肢に「ウェブページ」も含まれるようになります。大変有用なプラグインです。同じく「ウェブサイトまたはブログのアイテムをテーマにエクスポート」ということですから「アイテムをエクスポートする」選択肢が「テーマのエクスポート」時に増えます。
Movable Type 5.02 時点でのエクスポート機能では、ウェブページをエクスポートすることができません(インポートは可能ですがtheme.yamlを編集する必要あり)。
このプラグインは、ウェブサイトまたはブログのウェブページをテーマにエクスポートします。もちろんエクスポートしたアイテムを編集なしでインポートすることもできます。
Movable Type 5.02 時点でのエクスポート機能では、アイテムをエクスポートすることができません。また、インポートも行うことができません。
このプラグインは、ウェブサイトまたはブログのアイテムをテーマにエクスポートします。もちろんエクスポートしたアイテムをインポートすることもできます。
CharsetEncoder プラグイン という Movable Type 5 用のものが公開されています。「Movable Typeで指定した文字エンコーディング(文字コード)のページを出力する」というもののようです。
本プラグインでは、管理画面の文字コードはデフォルトのUTF-8のままとし、再構築で出力するページのみ、指定した文字エンコーディングで出力します。ブログ別に文字エンコーディングを指定することができます。携帯サイトとPCサイトで文字コードを変更したい場合に便利です。
このようなプラグインを必要としている方もいるものと思われます。
今すぐ使う予定はありませんが、2つのプラグインがリリースされたのでここに記しておきます。
Action Streams プラグインを Movable Type 5 に対応 | MovableType.jp
Action Streams (アクションストリーム)と Community Action Streams プラグインの Movable Type 5 対応版を公開します。Action Streams プラグインを利用すると、ユーザーが利用している外部のウェブサービスのプロフィールや更新情報を、Movable Type で表示することができます。Community Action Streams は、Movable Type でのユーザーのアクションを、Action Streams に出力します。
【追記 2010/07/14】
使い方は、
小粋空間さんで、MT5でブログIDを表示するプラグインを公開されているのでインストールしてみました。
BlogIDViewer プラグイン v0.10
http://www.koikikukan.com/archives/2010/06/28-015555.php
エントリーIDは以下のプラグインで表示可能です。これもインストールしてみました。
EntryIDViewer プラグイン
http://www.koikikukan.com/archives/2009/11/18-005555.php
いずれも、インストールしてあれば便利なプラグインです。
確認された問題は、「Movable Type 5.02 でアーカイブテンプレートを公開キュー経由で公開している場合に、正しくアーカイブが公開されない。具体的には、run-periodic-tasks スクリプトが、バックグランドで再構築を行うときに、アーカイブテンプレートが再構築されません。インデックステンプレートは再構築されます。」ということです。
パッチのダウンロードと修正方法は、こちら から得られます。
Movable Type 5.02 がリリースされました。さっそくインストールしてみました。5.02 リリースノート で、私が興味を惹かれたのは「ページ分割が、ダイナミックパブリッシングで正しく動作しない。」が、修正されているところです。ダイナミックパブリッシングに設定している方には朗報です。
Movable Type Advanced&Movable Type 5.02リリース – The blog of H.Fujimoto にも、アップデートの要点がわかりやすく書かれています。
5.01 と 5.02 との差分は、Movable Type 5.02 リリース(差分ファイル一覧) に詳しく書かれています。
Read the rest of this entry »
Movable Type 5.01 および 4.27の提供を開始。ということで、さっそくインストールしてみました。更新通知をセットして投稿しても、エラーが出なくなりました(5.0 でエラーが出ていました)。
5.01 リリースノート | Movable Type 5 ドキュメント
5.01 リリースノート
Movable Type 5.01 では以下の機能追加とバグ修正をおこないました。