｢Naga BLOG｣を携帯電話で表示させるために使っている｢MT4i｣が、なんかやばい穴が発見されたらしく、対策を施したVer2.1β2を配布しているとのことなので、ちょっと忙しくて作業できずに放置状態だったのですが、本日、遅ればせながら対策版へアップデートしました。しかし、公式サイトによると、穴はまだ完全には塞がれていないらしいのですが、それを踏まえて使う分には問題はないようです。

MT4iは管理者モードにおいて、暗号化したパスワードをURL引数にてやり取りしています。この為、管理者モードにて記事等閲覧中、外部へのリンクをクリックして遷移するとリファラとして管理者モードのURLが遷移先へ知らされることになってしまいます。遷移先がリファラを公開などしていた場合、不特定多数の者に貴方の管理者用URLが知られてしまう事になります。また、運悪く検索エンジンのロボットの巡回先に含まれてしまうと、ロボットが巡回する度にエントリが消えていくという現象も発生します（実際に報告あり）。管理用URLの漏洩についてはこの2.1βでも防ぐことができません（ユーザ個々に気を付けて頂く以外ありません）が、ロボット巡回によるエントリ・コメント・トラックバックの削除は防ぐことができます。

アップデート作業自体は簡単なので、チョチョイとやってくださいな。

• 公式サイトから最新バージョンをダウンロード
• ｢mt4i.cgi｣と｢mt4imgr.cgi｣をエディタで開いて、一行目のPerlパスをインストールする環境に合わせて編集して保存して下さい。ほとんどが#!/usr/bin/perlで問題ないと思います。
• ｢mt4imgr.cgi｣内に書かれているパスワードを従来のものに変更。
• ファイルの｢mt4i.cgi｣と、｢mt4imgr.cgi｣と、ディレクトリ(フォルダ)｢mt4ilib｣をサーバーにアップロード(前バージョンに上書きでもOK)します。
• ブラウザから｢mt4imgr.cgi｣にアクセスします。
• エントランスページからパスワードを入力してログインして、各種設定値が変更されていないか確認してから｢保存｣ボタンして、設定を保存してください。
• ブラウザや携帯電話から｢mt4i.cgi｣にアクセスして動作確認して終了。

後は、管理モードでサイト外に出なければOKということですね。

とりあえずの対策なので、これから、本格的な対策が施されるようなのて、頻繁なアップデートになるようです。テンプレートのバージョン表記の変更とか考えると、ちょっと面倒だけど、侵入されるよりはイイか。仕方ないですね。