｢Movable Type 3.3x｣(以下MT)の管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることが発見され、急遽バージョンアップが行われました。なんか、MTがページを出力する際に行う処理が不適切であることが原因の脆弱性で、これを悪用する事で、ブラウザ上で悪意あるスクリプトを実行される危険性があるんだそうです。イロイロとヤバイ脆弱性みたいなので、Six Apart Japanの勧告に従って早速｢Naga BLOG｣の｢MT3.32｣を｢MT3.33｣にバージョンアップすることにしました。

【重要】 Movable Type 新バージョンとパッチの提供について

Movable Typeユーザーの皆様

Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。

引用先：Six Apart Japan：Movable Type：ニュース

｢Movable Type｣にセッションハイジャックの危険性--最新版にバージョンアップを

JVN（JP Vendor Status Notes）は9月26日、シックス・アパートが提供する｢Movable Type｣に、クロスサイトスクリプティングの脆弱性が確認されたと発表した。

引用先：CNET Japan：ニュース

というわけで、早速ファイルを入れ替える事にしました。Six Apart Japanのニュースリリースによると、下記の差分ファイルを入れ替えるだけでOKなんだそうで、全部で9つのファイルだけなので、面倒だと思う暇なく作業終了です。全部入れ替えじゃなく良かった良かった。

まず、ダウンロードしてきたMT3.33から、下記のファイルを見つけ出し、FTPソフトを使って、サーバ上のファイルとチョチョイっと入れ替えます。

MT_DIR（カッコ内はファイルのリビジョン番号）
├─lib
│  MT.pm (584)
│  └─MT
│      │  App.pm (689)
│      │  Log.pm (696)
│      │  Sanitize.pm (691)
│      └─App
│              CMS.pm (690)
│              Search.pm (684)
├─php
│  mt.htm (N/A)
│  └─lib
│          sanitize_lib.htm (N/A)
└─plugins
    └─nofollow
            nofollow.pl (684)

入れ替えが終わったら、パーミッションの間違いがないか確認して、ブラウザーからblogの管理画面に入り、サイト全体を再構築して終了です。

ただ、この方法だと、｢MT｣のバージョン表記が、｢Movable Type 3.32-ja｣のままになってしまうようです。変更しているんだけどなぁ。