*vitalage*blog

Movable Type Publishing Platform: 【重要】 第三者による不正アクセスを許す危険性の対策について

Movable Type(ムーバブル・タイプ)の脆弱性により、第三者による不正なアクセスが可能であることが確認されました。Movable Typeのセッション管理で使われるCookieの値に、ハッシュ化されたユーザーアカウント情報が含まれており、以下の条件を全て満たした場合に、第三者による不正なアクセスが可能になります。

今月半ばあたりから結構あちこちで騒ぎになっておりましたが、静観していました。Cookieを渡すシステムなんてMTだけじゃないはずだしなーと。ちょっと大仰な気がしたので。（SixApartの書き方は結構おっかないけど……）

今日ネットをふらふらしていて、このあたりで落ち着きました。

• NDO::Weblogさん：Movable Type の脆弱性の件


• tdiary.ishinao.netさん：MTの認証Cookieに関する脆弱性とされているものについて

具体的対策をしないと落ち着かない方は、2xUPさんの「mt.cfgをかくさないと！もっかい！またはいろいろ具体的対策をやってみる」を頭から順番に拝読して、対策するとよろしいかと思います。