金曜日, 5月 14, 2010

セキュリティアップデートが必要Movable Type 5.0/5.01⇒5.02

本件について下記のソフトウェアに影響があります↓
ソフト情報:
Movable Type 5.0
Movable Type 5.01
ベンダー:Six Apart社
カテゴリー:ブログソフトウェア

本問題に影響されたOS情報↓
Mac OS X
Solaris, SunOS
RedHat Enterprise, Fedora and CentOS
Linux
BSD
Windows Server 2008
Windows XP Professional, Service Pack 2
Windows Server 2003, Service Pack 2
詳細情報はメーカサイトへ確認が出来ます

本件の問題についての判断/プライオリティ・レベル↓

・クロススクリプト問題があるから↓
・リモートから個人のブラウザーセキュリティ攻撃可能性があり↓
 ・個人(認証の関係)情報をリモートから取られてしまい
 ・盗まれた情報を使い色んなセキュリティ攻撃パターンが来る可能性が高い

問題説明は下記となります↓
Movable Type 5.01と5.0のCGIでクロススクリプト問題(cross-scripting)があります、もしこのバグを使うとブラウザー側に色んなセキュリティ攻撃が出来ます、再現が出来たのはブラウザーのcookieの中に入ったauthentication credentials(認証情報)を取ることが出来ます。この情報を使えると次のセキュリティー攻撃仕組みの来る可能性が高いです。WindowsOSですとDoSエクスプロイトが起きる問題可能性がありますのでマルウェア感染窓口になります。

解決方法↓
SixApart社からアップグレードバーション「Movable Type MTOS-5.02-en.zip」と「Movable Type MTOS-5.02-en.zip」をリリースされました。
このアップグレードバーションに本件のセキュリティ問題がなおりました。
現在ワークラウンドが無いので最新バーションにアップグレードをお願いします。
アップグレードに付いて下記のガイドラインでご覧下さい↓
■Movable Type 5.0ユーザですと下記のバーションへアップグレード下さい↓
「Movable Type MTOS-5.02-en.zip」
URL:http://www.movabletype.org/downloads/stable/MTOS-5.02-en.zip

■Movable Type 5.01ユーザですと下記のバーションへアップグレード下さい↓
「Movable Type MTOS-5.02-en.zip」
URL:http://www.movabletype.org/downloads/stable/MTOS-5.02-en.zip

リファレンス↓

---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

0 件のコメント:

コメントを投稿