ウケるデジモノブログ|smiley-jp

デジモノをこよなく愛するブログ

kamiz | | ブログ

  • このエントリーをはてなブックマークに追加
  • LINEで送る
  • follow us in feedly

ロリポップからこんなメールがきました。めちゃビックリしたぁ。

平素はロリポップ!レンタルサーバーをご利用頂き誠にありがとうございます。 シックス・アパート株式会社(以下、シックス・アパート)が提供する ブログシステム「Movable Type」のプログラムにおきまして、 クロスサイトスクリプティングによる脆弱性が発見されました。

「Movable Type」をご利用のお客様はバージョンアップを行ってください。
バージョンアップの方法につきましてはシックス・アパートのニュースを
ご参照ください。

なんだか分からないので、クロスサイトスプリプティングとはなんぞや!?と調べてみました。

クロスサイトスクリプティング (cross-site scripting) は、web ページとして動的に HTMLやXML等のマークアップ言語のソースを生成する仕組みを設けている場合に、セキュリティ上の問題となるものです。あるサイトに書かれているスクリプトが別のサイトへとまたがって(クロスして)実行されることから、クロスサイト スクリプティングと呼ばれています。

ページの自動生成過程において、悪意ある者がそのページを構成する部分を記述できてしまう状態にあると想定します。 例えば、攻撃者はアクセスしてきた読者に意識させることなく他のサイトにある悪意あるプログラムをダウンロードさせるスクリプトを記述するように事前に処理させ たとします。そのページにアクセスした読者は、そのスクリプトが示す悪意あるプログラムによって侵害されます。


どうやら、悪意あるものが自分のMTに悪意あるスプリクトを勝手に仕組めるようです。
お〜怖い怖い。そんな事されたら、どんなサイトでも信用ガタ落ちですものね。

ロリポップからのメールにはシックスアパートのサイトを参考にアップグレードするよう書いてありましたが、シックスアパートのアップグレード方法はいまいち分かりにくい。バックアップするフォルダとか説明があるんだけど、なんとフォルダ名がカタカナで書いてある。MTのフォルダは普通に英語なので、どのフォルダかいまいち分かりにくい。この辺のユーザーのこともうちょっと考えてほしいですね。

オイラのアップグレード方法
・既存のmtバックアップを取る。
・既存の主要なテンプレートのソースをテキストデータでバックアップ。
・新しいMT3.33-jaをmtにリネーム。
・既存のmtにリネームしたmtを上書きアップロード。
・念のため、mt-check.cgiとmt-upgrade.cgiでチェック。
・管理画面でサイト再構築すればアップグレード完了。
やっぱりこれが一番カンタンです。

MTのアップグレード方法、そろそろ簡単になって欲しいですよね。

スポンサーリンク
  • このエントリーをはてなブックマークに追加
  • LINEで送る
  • follow us in feedly