2005年5月13日 01:15
Movable Typeに脆弱性
どうも。
久々に、最近日課のランニングをさぼったら早速肩こりになったToshixです。
すでに、小粋空間さん、MagicWhiteさん、Nonsense?さんがエントリーされているのでご存じな方の方が多いと思うのですが、MovableTypeに「第三者による不正アクセスを許す危険性」という脆弱性が公式サイトの方で発表されています。
不正アクセスが発生する条件として
1. 第三者が、Cookieの値を取得する。
2. 第三者が、Movable Type管理画面CGIスクリプトのパスを取得する。
だそうで、一応の対策が書かれているので、対策しないといけません。
正式には、6月上旬登場予定の3.16までは、あくまで不正アクセスを受けにくくするだけで、完全な対策はできないようです。
何となく、以前から危ないんじゃないかなぁと思っていたところがやっぱり危険でしたといった感じかなぁ。
ほかにも、.htaccrssできちんとブロックするようにしてないとmt.cfgが丸見えになっちゃったりとか、結構セキュリティ面は甘い気がしてたのでこれを機にしっかりと対策してほしいですねぇ。
まあ、どうしても公開する物なので完全に安全な物は無理だとはおもいますが、できる限りの対策はしてほしいと思いますはい。
このエントリーにタグはありません
このエントリーのトラックバックURL:
"Movable Typeに脆弱性"へのトラックバックはまだありません。
こんばんは。
トラックバックありがとうございます。
後出しですいません… > Nonsense?さん、Magic White さん
セキュリティ面に問題が発生するということはメジャーになってきた証拠ですね。
あ、昨日クリックしておきました。(笑)
こないだチャットで話してたことが現実に・・・ってやつやね。
俺も日記スクリプト作ってるけど、セキュリティ周りはいつも頭が痛い問題だよ・・・。
>yujiroさん
クリックありがとうございます(笑
とりあえず、細かい暫定処置をしておいたので大丈夫…だとおもいたい…。
>G兄
いやほんとそんな感じやねぇ。
オンラインで認証って基本的に誰でも認証画面までいけるからどうしても危ないね。
at 2005年5月13日 08:35
