☆Movable Typeで第三者の不正アクセスを許可してしまう脆弱性

| コメント(0) | トラックバック(0)

Movable Typeで第三者の不正アクセスを許可してしまう脆弱性

 シックス・アパートは12日、ブログツール「Movable Type」において、第三者からの不正アクセスを許可してしまう脆弱性が発見されたと発表した。同社サイトにて対応方法を紹介するほか、脆弱性を修正した新バージョンを6月上旬に公開する予定だという。

 私としては、「脆弱性を修正した「3.16」を6月上旬に公開する予定」とあるから、それを待ってバージョンアップする予定です。

 今回発見された脆弱性は、第三者がCookieの値を取得し、Movable Type管理画面CGIスクリプトのパスを取得した場合に不正なアクセスが可能になるというもの。また、Cookieの値がAtom APIによるログイン時のパスワードとしても利用されているため、Atom APIに対応した対応ブログクライアント経由での不正な記事の投稿や削除が可能になるという。

 脆弱性が発見されたバージョンはMovable Type日本語版の全バージョンで、英語版でも同様の脆弱性が確認されている。シックス・アパートでは、脆弱性を修正した「3.16」を6月上旬に公開する予定。また、脆弱性対策としてCGIスクリプトのパスを変更する、使用ブラウザのCookie保持期間を限定する、Atom APIで利用するアカウントは専用のものを用意し適切な権限を設定する、といった対策方法を公開している。

この記事と同じカテゴリの記事

トラックバック(0)

トラックバックURL: http://flowerwind.sakura.ne.jp/mt5/mt-tb.cgi/512

コメントする

このブログ記事について

« 前の記事|ホーム|次の記事 »

このページは、理恵が2005年5月13日 11:26に書いたブログ記事です。

ひとつ前のブログ記事は「☆村上龍の『愛と幻想のファシズム』を読み始めた」です。

次のブログ記事は「☆ミサイル防衛 新レーダー沖縄配備 全国4基、中朝に対応」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

アーカイブ

ステータス

ブログ記事: 1549
コメント: 377
トラックバック: 185


最終更新日:2012/01/27 16:32:54

OpenID対応しています OpenIDについて
Powered by Movable Type 5.06