• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

ブログ・システム「Movable Type」にセキュリティ・ホール

勝村 幸博=ITpro 2006/09/26 ITpro
今回のセキュリティ・ホールの概要(IPAの情報から引用)
今回のセキュリティ・ホールの概要(IPAの情報から引用)
[画像のクリックで拡大表示]

 JP Vendor Status Notes(JVN)は9月26日,シックス・アパートのブログ・システム「Movable Type」にクロスサイト・スクリプティングのセキュリティ・ホール(脆弱性)が見つかったことを明らかにした。Movable Typeが稼働するブログ・サイトを経由して,ユーザーのWebブラウザ上で悪意のあるスクリプトを実行される恐れなどがある。対策はバージョンアップ。

 今回のセキュリティ・ホールは,Movable Typeの検索機能に見つかったという。検索結果を出力する際の処理が不適切なために,出力結果中に任意のスクリプトを埋め込まれる可能性がある。このため,例えば掲示板やメールに書かれた,攻撃者が作成したリンクをクリックすると,悪意のあるスクリプトがブログ・サイトのコンテキスト(セキュリティ・ゾーン)で実行させられる恐れがある。

 影響を受けるのは,Movable Type 3.3/3.31/3.32,Movable Type Enterprise 1.01/1.02。対策は,セキュリティ・ホールを修正したMovable Type 3.33およびMovable Type Enterprise 1.03にバージョン・アップすること。Movable Type 3.33はシックス・アパートのWebページから入手可能。同ページでは,Movable Type 3.2用のパッチも公開している。Movable Type Enterprise 1.03については,9月27日に公開する予定である。

JP Vendor Status Notes(JVN)の情報
情報処理推進機構(IPA)の情報
シックス・アパートの情報

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る