Recent EntriesMovable Typeの脆弱性 発覚! - 2005.05.12 Thu 
とうとう出ちゃいましたよ
【重要】 第三者による不正アクセスを許す危険性の対策について
私も帰って早く対応しなければ、と思ってます。
対応方法は以下なんですが。一度試したらできなかった
また弄らなければ
盗聴によるパスワードやCookieの漏洩からの不正アクセスを防止する(1)
5/13追記:対応方法とりあえず追記であげときます。
5/14追記:
naoyaさんのサイトでこのようなエントリがあがっていました。
たしかにおっしゃるとおり、だなぁと思いました。
これについて対応するかどうかは、個人次第です。
NDO::Weblog:
Movable Type の脆弱性の件
要するにSixApart社の告知の仕方に問題があっただけ?
さらにさらに5/14追記:
同じように思ってる方ハケーン
spanstyle::monolog:
それは脆弱性じゃないと思います、せんせー。
私の借りてるロリポップはMTインストール手順書に一応mt.cfgに.htaccessをかけておくような感じになってたりするし、まぁ考えられているのかな一応、と思ったりしております。
確かにつまんないいたずらを防ぐのにちょうどいい対応でした。
どっちにしろやろうと思ってたし。
はぁ、ほんっとにいろいろやらなきゃいけないもんだ
対処方法に書いてあるやり方だと、とりあえずできませんでした
私が思うに、mt.cgiだけを動かすんじゃなくて、他のモジュール系も移さないとあかんのでは?
そんなことせんでえぇんかなぁ
なんせね、mt.cgiを違うフォルダに入れて、AdminCGIPathを指定してできへんもんはできへん
5/14追記:
小粋空間さまのこのエントリーに私が↑で予想していたことが書かれています。
小粋空間:やっぱり他のモジュールもうつさなあかんねんやん
●AdminCGIPath を利用した mt.cgi の利用
一応会社で会員用サイトが見れるんで見てみたんですけど。
書いてませんでした
それでもサポートかよ
ってことで、別のやり方を。
てか、いずれやらなきゃなーって思ってたことの一つです。mt.cgiのリネーム。
つーことで、やってみました。
問題あるのは、検索結果ページのテンプレート search_templates に入ってる default.tmpl のなかに、<$MTEntryEditLink$>がある場合だけ。
幸い、これはテンプレ弄ってたときに「これはこういうリンクじゃねぇよ!」って気づいて変えてたので問題なし。
ということで、思い切ってmt.cgiの名前変更!
成功しましたー
基本的にこれのほうが早く対応できますよー。
たしかに、mt.cgiの元ネタがあるパスはばれちゃうんですけどね。
なので、ばれないような名前に変更してくださいね~!
システム屋さんなら良く使う、「る~と」とか「あどみん」とか「ろぐいん」とかはダメっすよ、ばれるから
参考までに以下のページ、あげときます。
MT hxxks:
MT をインストールしたら真っ先に行うべきセキュリティ対策
ほんっと、いろんなこと考えなあかんねぇ
さらに追記(5/13)
リネームしちゃっても、大きく問題にはならないのですが。
昨夜気づいてしまいました。寝る直前に。
管理画面のMTのロゴに実はmt.cgiへのリンクが貼られてるんですが、それはリネームしても連動してくれません。
「header.tmpl」をいじる必要があります。mt.cfgの設定で変えるところがあったそうです
どうしよ、どうしよ
と悩んでいたら、TBしてくださった方のサイトにありました。
spanstyle::monolog
「MovableTypeに脆弱性が発見されました」
ご参考にどうぞ
Posted at 20:14 | WEB・Blog | Comment(5) | Trackback(5)
トラックバック
*トラックバックに関するサイトポリシーはこちらです。このエントリーのトラックバックURL:
» 【緊急】【その他の対策】 第三者による不正アクセスを許す危険性の対策について from *mt3::MRU
だいたいのMovableTypeユーザの方ならご存知かと思いますが、致命的なセキュリティホールがあることが確認されました。 パッチが早々に公開されるとは思い... →続きを読む
Tracked on 2005年05月13日 07:16
» MovableTypeに脆弱性が発見されました from spanstyle::monolog
Movable Type Publishing Platform: 【重要】 第... →続きを読む
Tracked on 2005年05月13日 10:23
» MovableType全バージョンに第三者不正の脆弱性 from 話題のナレッジベース
シックス・アパートは12日、ブログツール「Movable Type」において、第三者からの不正アクセスを許可してしまう脆弱性が発見されたと発表しましたが、今回... →続きを読む
Tracked on 2005年05月13日 13:13
» Movable Typeの危険性 from N-blog
第三者による不正アクセスを許す危険性の対策について (From:Six Apart) このblogで使用している『Movable Type』に「第三者による不正... →続きを読む
Tracked on 2005年05月13日 15:29
» 【緊急】【その他の対策】 第三者による不正アクセスを許す危険性の対策について from *mt3::MRU
だいたいのMovableTypeユーザの方ならご存知かと思いますが、致命的なセキュリティホールがあることが確認されました。 パッチが早々に公開されるとは思い... →続きを読む
Tracked on 2005年05月14日 17:12
コメント
シックスアパートのサイトに書かれている「AdminCGIPathの設定をする」と
いう方法をそのまま試しても、mt.cgiが正しく表示されないはずです。
私はCSSが無視された状態で表示されました・・・
いちばん手っ取り早いのはmt.cgiそのものをリネームすることです。
ただし、もし<$MTEntryEditLink$>を使用している場合は、mt.cfg内の
# AdminScript mt.pl の部分のコメントをはずして、mt.plをmt.cgiリネーム後
のファイル名にする必要があるようです。お試しあれ~
Posted by なお : 2005年05月12日 21:33
>なおしゃん
ありがとうございますぅm(_ _)m
やっぱリネームがいいんですかねぇ・・・
やりかけて止めたんっすけど。
今晩頑張ることにしますです
Posted by あっち : 2005年05月12日 23:26
結局リネームしましたか・・・。
それにしても、AdminCGIPath、使えなさすぎやっちゅーねん!
MTのロゴのリンクは見落としてました。さっそく変更しておかねば。
私も昨夜、対応策をblogにアップしたのでトラバっておきました~
Posted by なお : 2005年05月13日 15:37
ishiiです。TBありがとうございました。
取り上げていただいたのに恐縮なんですが、mt.cgiをリネーム後は、header.tmplの修正ではなくmt.cfgのAdminScriptを修正するだけで問題なかったみたいです。追記しときましたので、よろしければご参照ください。
Posted by ishii : 2005年05月14日 22:49
>なおしゃん
どっちにしろ、mt.cfgの設定変えたりせなあかんようでした。
まぁでも、NDO::Weblogに書かれたりしてるとおり、
ちょっと叩きすぎやな、冷静に考えたらそうだねーって思いました。
TBありがとうございますですm(_ _)m
>ishiiさん
ご連絡ありがとうございます!
早速対応して記事にも追記さしてもらいました。
たしかに、脆弱性っていうわけではないですね・・・。
冷静に考えられてなかったなぁ・・・と今は反省しきりです。
Posted by あっち : 2005年05月15日 04:05
コメントしてください
*コメントに関するサイトポリシーはこちらです。
