« Windowsのセキュリティ問題、最新パッチでは修正されず | Main | 松下の2005年春モデルPC »

›1 26, 2005

Movable Typeでスパムメールが送信できてしまう脆弱性

[ PCニュース ] [ Movable Type ]

 アップデートが、修正用プラグインファイルをつっこめばいいみたいです。

 シックス・アパートは25日、ブログツール「Movable Type」に脆弱性が存在することを明らかにした。脆弱性の対策を行なった新バージョンを出荷する予定であるほか、出荷済みのMovable Type向けに、脆弱性を回避するためのプラグインを無償で配布する。
 
 この脆弱性は、新着コメントのメール通知機能で発生するもの。特定の方法でコメントを投稿することで、コメント欄を使って第三者にメールを送信できてしまうという。なお、ブログサービス「TypePad」ではこの問題は発生しない。
 
 本現象は、「メール通知」の設定がされており、「MailTransfer」の設定値が「sendmail」の場合に発生する。「MailTransfer」の初期設定は「sendmail」のため、メール通知を設定しているすべてのユーザーでこの現象が発生する可能性があるという。
 
 シックス・アパートでは、オンライン上で提供しているMovable Type日本語版を、脆弱性への対策を施した「3.122」にアップデート。1月中に出荷予定だった「3.14」については、脆弱性に対応した上で「3.15」として改めてリリースする。3.15の提供時期は現在のところ未定。
 
 また、Movable Typeの英語版「2.6x」、日本語版「3.01D」「3.121」向けにも、脆弱性を回避するための専用プラグインを提供する。専用プラグインはMovable Typeのサイトからダウンロードできる。本脆弱性は、バージョン「2.661」以前の英語版でも発生するが、以前のバージョンの対応は現在検討中。ただし、英語版の「2.661」では修正プラグインが動作することを確認しているという。

Movable Typeでスパムメールが送信できてしまう脆弱性
Movable Type 日本語版サイト: 【重要】 Movable Typeの脆弱性と対策について
[f] MovableTypeに任意のメール送信に使われてしまう欠陥


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?