Movable Typeにクロスサイトスクリプティング?
Movable Type(ムーバブルタイプ)を知らない方のために簡単に説明しますと、これは自宅サーバやレンタルサーバにインストールして簡単に独自のブログ(Blog)を構築するためのソフトです。
Livedoorブログやココログといった無料ブログとは違って、Movable Typeを使うと独自ドメインで運用できたり、デザインのカスタマイズを自由に行うことができます。
こういうブログなどのデジタルコンテンツを管理するソフトを、CMS(コンテンツマネジメントシステム)と呼んだりしますね。
さて、このMovable Typeにクロスサイトスクリプティングの脆弱性があることが先日判明しました。
シックス・アパート、Movable Typeの脆弱性を修正した「3.33」公開
これは、前回の記事で紹介した「サニタイジング」の処理がしっかり行えていなかったということです。
サニタイジング(サニタイズともいいます)で、特殊な文字を無効化する処理を行っていないと、いったいどうなってしまうのか?
例えばですが、ブログのコメントから、悪意のあるコマンドが送られて、サイトが改ざんされてしまう可能性があります。
Movable Typeでビジネスサイトを運営している企業・個人は大打撃ですね。
最近では、個人がビジネス等でMovable Typeを利用していケースが多いと思いますので、Movable Type 3.32 または 3.2を使っている方は早急に3.33へアップグレードをしてくださいね。
Movable Type 3.32を利用している方であれば、3.3との差分のファイルをコピー(上書き)して、サイトの再構築をするだけでアップグレードは可能です。
メチャセキュリティ・ドットコムのサイトも3.32を利用していたので3.33にアップグレード済みです (^^)
Movable Type3.32にクロスサイトスクリプティングの脆弱性があることが発見されました。
脆弱性があるままにしておくと、悪意のある攻撃などを受けてサイトが改ざんされてしまう可能性もあります。早急にアップグレードするようにしましょう。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。