「Movable Type 3.34日本語版」リリース、脆弱性を修正

シックス・アパートは、クロスサイトスクリプティングの脆弱性を修正した「Movable Type 3.34日本語版」をリリースした。

[ITmedia]

　シックス・アパートは1月22日、サーバサイドのブログ構築ツール「Movable Type」日本語版の新バージョン「Movable Type 3.34日本語版」（3.34-ja）を公開した。クロスサイトスクリプティングの脆弱性が修正されているほか、いくつかの不具合が修正されている。

　Movable Typeは、ブログ作成／管理のためのシステム。同社およびJVN、IPAなどの情報によると、Movable Type 3.33-ja以前のバージョンには、2種類のクロスサイトスクリプティングの脆弱性が存在する。これらは、2006年9月に修正された脆弱性とは別の問題だ。

　細工を施したHTMLタグなどを通じてこれらの脆弱性を悪用すると、出力ページに任意のスクリプトが埋め込まれてしまう。この結果、Webブラウザ上で任意のスクリプトが実行されたり、画面の改ざん、セッションハイジャックなどにつながる恐れがある。

　Movable Type 3.34日本語版ではほかに、FastCGIサポートの向上が図られたほか、米国で公開された3.34β1で設定されていた誤ったスキーマバージョンを修正。さらに、再構築オプションが正しく表示されない不具合やプラグインのアップグレード機能が正しく動作しない不具合なども修正されている。

　シックス・アパートではユーザーに対し、最新版へのアップグレードを呼び掛けている。