Movabletype本体のアップデート情報が出ました。
MT4.23からMT4.24へのアップデートになります。
- Movable Type 4.24 (Open Source)
- Movable Type 4.24 (Professional Pack, Community Pack を同梱)
- Movable Type Commercial 4.24 (Professional Pack を同梱)
- Movable Type Enterprise 4.24
改善する問題点
特殊な操作を行うと、サインインしていないユーザーが特定のユーザーのプロフィール編集画面にアクセスできてしまう。
[引用元]■Six Apart - Movable Type News: [重要] セキュリティアップデート Movable Type 4.24 の提供を開始
追加・変更されるファイル一覧
- mt-check.cgi
- default_templates/recover-password.mtml
- lib/MT.pm
- lib/MT/App.pm
- lib/MT/Author.pm
- lib/MT/ImportExport.pm
- lib/MT/Sanitize.pm
- lib/MT/Upgrade.pm
- lib/MT/Util.pm
- lib/MT/App/CMS.pm
- lib/MT/App/ActivityFeeds.pm
- lib/MT/App/Comments.pm
- lib/MT/CMS/Tools.pm
- lib/MT/L10N/de.pm
- lib/MT/L10N/ne_us.pm
- lib/MT/L10N/es.pm
- lib/MT/L10N/fr.pm
- lib/MT/L10N/ja.pm
- lib/MT/L10N/nl.pm
- lib/MT/Template/ContextHandlers.pm
- mt-static/css/main.css
- mt-static/css/simple.css
- mt-static/js/mt_core_compact.js
- php/mt.php
- php/lib/archive_lib.php
- php/lib/function.mtcommentauthorlink.php
- php/lib/function.mtentryauthorlink.php
- plugins/Cloner/cloner.pl
- [追加]tmpl/cms/dialog/new_password.tmpl
- tmpl/cms/dialog/recover.tmpl
- tmpl/comment/login.tmpl
変更される動作
- アップグレード前:パスワードの再設定には、パスワードの再設定を行いたいユーザーのユーザー名と、パスワード再設定のプレーズを使用。
- アップグレード後:パスワードの再設定には、ユーザー登録時に設定した電子メールを使用
あとがき
こういったセキュリティ関係のフィックスは早めに対応が大切ですねヽ( ・ω・)ノ