TOP > WEB・Blog > Movable Typeの脆弱性 発覚!
« 新しい記事 | 古い記事 »

Movable Typeの脆弱性 発覚! - 2005.05.12 Thu このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク あとで読む  Check この記事についてfacebookでshareする

とうとう出ちゃいましたようぎょ


私も帰って早く対応しなければ、と思ってます。

対応方法は以下なんですが。一度試したらできなかった汗
また弄らなければがーん

5/13追記:対応方法とりあえず追記であげときます。

5/14追記:
naoyaさんのサイトでこのようなエントリがあがっていました。
たしかにおっしゃるとおり、だなぁと思いました。
これについて対応するかどうかは、個人次第です。


要するにSixApart社の告知の仕方に問題があっただけ?

さらにさらに5/14追記:
同じように思ってる方ハケーンらぶ


私の借りてるロリポップはMTインストール手順書に一応mt.cfgに.htaccessをかけておくような感じになってたりするし、まぁ考えられているのかな一応、と思ったりしております。
確かにつまんないいたずらを防ぐのにちょうどいい対応でした。
どっちにしろやろうと思ってたし。

はぁ、ほんっとにいろいろやらなきゃいけないもんだがーん

対処方法に書いてあるやり方だと、とりあえずできませんでした怒

私が思うに、mt.cgiだけを動かすんじゃなくて、他のモジュール系も移さないとあかんのでは?
そんなことせんでえぇんかなぁ?
なんせね、mt.cgiを違うフォルダに入れて、AdminCGIPathを指定してできへんもんはできへんむぅ
5/14追記:
小粋空間さまのこのエントリーに私が↑で予想していたことが書かれています。

やっぱり他のモジュールもうつさなあかんねんやん怒  

一応会社で会員用サイトが見れるんで見てみたんですけど。

書いてませんでした怒

それでもサポートかよはーん

ってことで、別のやり方を。

てか、いずれやらなきゃなーって思ってたことの一つです。mt.cgiのリネーム。
つーことで、やってみました。
問題あるのは、検索結果ページのテンプレート search_templates に入ってる default.tmpl のなかに、<$MTEntryEditLink$>がある場合だけ。
幸い、これはテンプレ弄ってたときに「これはこういうリンクじゃねぇよ!」って気づいて変えてたので問題なし。
ということで、思い切ってmt.cgiの名前変更!

成功しましたー♪
基本的にこれのほうが早く対応できますよー。
たしかに、mt.cgiの元ネタがあるパスはばれちゃうんですけどね。
なので、ばれないような名前に変更してくださいね~!
システム屋さんなら良く使う、「る~と」とか「あどみん」とか「ろぐいん」とかはダメっすよ、ばれるからんふ

参考までに以下のページ、あげときます。


ほんっと、いろんなこと考えなあかんねぇぷんぷん

さらに追記(5/13)
リネームしちゃっても、大きく問題にはならないのですが。
昨夜気づいてしまいました。寝る直前に。
管理画面のMTのロゴに実はmt.cgiへのリンクが貼られてるんですが、それはリネームしても連動してくれません。
「header.tmpl」をいじる必要があります。mt.cfgの設定で変えるところがあったそうですにっこり

どうしよ、どうしよ?  と悩んでいたら、TBしてくださった方のサイトにありました。


ご参考にどうぞぴかっ

Posted at 20:14 | WEB・Blog | Comment(5) | Trackback(5)

トラックバック

*トラックバックに関するサイトポリシーはこちらです。

このエントリーのトラックバックURL:

» 【緊急】【その他の対策】 第三者による不正アクセスを許す危険性の対策について from *mt3::MRU
 だいたいのMovableTypeユーザの方ならご存知かと思いますが、致命的なセキュリティホールがあることが確認されました。  パッチが早々に公開されるとは思い... →続きを読む

Tracked on 2005年05月13日 07:16

» MovableTypeに脆弱性が発見されました from spanstyle::monolog
Movable Type Publishing Platform: 【重要】 第... →続きを読む

Tracked on 2005年05月13日 10:23

» MovableType全バージョンに第三者不正の脆弱性 from 話題のナレッジベース
 シックス・アパートは12日、ブログツール「Movable Type」において、第三者からの不正アクセスを許可してしまう脆弱性が発見されたと発表しましたが、今回... →続きを読む

Tracked on 2005年05月13日 13:13

» Movable Typeの危険性 from N-blog
第三者による不正アクセスを許す危険性の対策について (From:Six Apart) このblogで使用している『Movable Type』に「第三者による不正... →続きを読む

Tracked on 2005年05月13日 15:29

» 【緊急】【その他の対策】 第三者による不正アクセスを許す危険性の対策について from *mt3::MRU
 だいたいのMovableTypeユーザの方ならご存知かと思いますが、致命的なセキュリティホールがあることが確認されました。  パッチが早々に公開されるとは思い... →続きを読む

Tracked on 2005年05月14日 17:12

コメント

シックスアパートのサイトに書かれている「AdminCGIPathの設定をする」と
いう方法をそのまま試しても、mt.cgiが正しく表示されないはずです。
私はCSSが無視された状態で表示されました・・・がーん
いちばん手っ取り早いのはmt.cgiそのものをリネームすることです。
ただし、もし<$MTEntryEditLink$>を使用している場合は、mt.cfg内の
# AdminScript mt.pl の部分のコメントをはずして、mt.plをmt.cgiリネーム後
のファイル名にする必要があるようです。お試しあれ~らぶ

Posted by なお : 2005年05月12日 21:33

>なおしゃん
ありがとうございますぅm(_ _)m

やっぱリネームがいいんですかねぇ・・・しょぼーん
やりかけて止めたんっすけど。

今晩頑張ることにしますです汗

Posted by あっち : 2005年05月12日 23:26

結局リネームしましたか・・・。
それにしても、AdminCGIPath、使えなさすぎやっちゅーねん!怒
MTのロゴのリンクは見落としてました。さっそく変更しておかねば。
私も昨夜、対応策をblogにアップしたのでトラバっておきました~はぁと

Posted by なお : 2005年05月13日 15:37

ishiiです。TBありがとうございました。
取り上げていただいたのに恐縮なんですが、mt.cgiをリネーム後は、header.tmplの修正ではなくmt.cfgのAdminScriptを修正するだけで問題なかったみたいです。追記しときましたので、よろしければご参照ください。

Posted by ishii : 2005年05月14日 22:49

>なおしゃん
どっちにしろ、mt.cfgの設定変えたりせなあかんようでした。
まぁでも、NDO::Weblogに書かれたりしてるとおり、
ちょっと叩きすぎやな、冷静に考えたらそうだねーって思いました。
TBありがとうございますですm(_ _)m


>ishiiさん
ご連絡ありがとうございます!
早速対応して記事にも追記さしてもらいました。
たしかに、脆弱性っていうわけではないですね・・・。
冷静に考えられてなかったなぁ・・・と今は反省しきりです。

Posted by あっち : 2005年05月15日 04:05