今回のセキュリティ・ホールの概要(IPAの情報から引用)
[画像のクリックで拡大表示]
JP Vendor Status Notes(JVN)は9月26日,シックス・アパートのブログ・システム「Movable Type」にクロスサイト・スクリプティングのセキュリティ・ホール(脆弱性)が見つかったことを明らかにした。Movable Typeが稼働するブログ・サイトを経由して,ユーザーのWebブラウザ上で悪意のあるスクリプトを実行される恐れなどがある。対策はバージョンアップ。
今回のセキュリティ・ホールは,Movable Typeの検索機能に見つかったという。検索結果を出力する際の処理が不適切なために,出力結果中に任意のスクリプトを埋め込まれる可能性がある。このため,例えば掲示板やメールに書かれた,攻撃者が作成したリンクをクリックすると,悪意のあるスクリプトがブログ・サイトのコンテキスト(セキュリティ・ゾーン)で実行させられる恐れがある。
影響を受けるのは,Movable Type 3.3/3.31/3.32,Movable Type Enterprise 1.01/1.02。対策は,セキュリティ・ホールを修正したMovable Type 3.33およびMovable Type Enterprise 1.03にバージョン・アップすること。Movable Type 3.33はシックス・アパートのWebページから入手可能。同ページでは,Movable Type 3.2用のパッチも公開している。Movable Type Enterprise 1.03については,9月27日に公開する予定である。
・JP Vendor Status Notes(JVN)の情報
・情報処理推進機構(IPA)の情報
・シックス・アパートの情報
