SixApart、Movable Type 7 r.4706 / Movable Type 6.7.6 / Movable Type Premium 1.40 配信開始。スクリプトが実行できてしまうセキュリティ問題やバグ修正を行なったセキュリティパッチ

MovableType

MovableType


今回はセキュリティに関わる問題のため、発表日に掲載しました。
バグなども修正されていること、以前のバージョンから日付が経っているので確認の意味も込めています。

リリース:
https://www.sixapart.jp/movabletype/news/2021/02/24-1100.html

セキュリティ修正:
・アセット挿入のモーダルでスクリプトが実行できる問題を解決
・権限付与のモーダルでスクリプトが実行できる問題を解決
・コンテンツフィールドへのアセットの追加でスクリプトが実行できる問題を解決(Movable Type 7 / Premium のみ)

それぞれのバージョンでバグ修正部分が異なりますが、以下共通部分です。
・サイトのインポート時にサイト名を編集できるように
・サイトのインポートの開始と終了をログを出力するように
・バックアップの出力先を指定する環境変数 ExportTempDir を追加しました
※ MTクラウドにおいてサイトのエクスポートの一時データが容量としてカウントされますが、次のリリースでカウントされなくなる予定です。
・環境変数 UserSessionTimeOut に指定された自動ログアウト時間をサインインからの経過時間ではなく、最終操作からの時間に変更
・【サーバー配信】配信ファイルリストの管理単位を「配信先ホスト、開始ディレクトリ」ではなく、配信先ホスト、開始ディレクトリ、FTP ユーザー、ポート、SSLフラグの有無に変更
・【サーバー配信】配信設定の保存時に接続エラーが出た場合に、ログを出力するように
・【サーバー配信】サーバー配信のログに通知先のメールアドレスも含めるように
・【MTクラウド】Let’s Encypt に対応し、TLS(SSL)証明書を自動取得できるように
・【MTクラウド】管理画面のパフォーマンスを改善

安定性を求める場合でも、テスト環境で動作チェックを行い、早期に導入されることをお勧めします。

現場からは以上です。





カテゴリー: CMS, VPS, アップデート, アフィリエイト, パソコン関連, レンタルサーバ タグ: , , , , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です