2005年05月14日
Movable Type の脆弱性のニュース再び
●シックスアパート社サイトで、再び Movable Type の脆弱性に関する警告が出ています。とりあえずの対策法と、新バージョンV3.16(6月上旬提供予定)ではその対策がほどこされているということが掲載されています。
●実際に狙われたからなのか、あるいは狙われる前の予防対策であるのかはわかりませんが、あくなきいたちごっこが続いています。正直、疲れますね。
○ 【重要】 第三者による不正アクセスを許す危険性の対策について
Movable Type(ムーバブル・タイプ)の脆弱性により、第三者による不正なアクセスが可能であることが確認されました。Movable Typeのセッション管理で使われるCookieの値に、ハッシュ化されたユーザーアカウント情報が含まれており、以下の条件を全て満たした場合に、第三者による不正なアクセスが可能になります。
第三者による不正なアクセスが発生する条件:
第三者が、Cookieの値を取得する。
第三者が、Movable Type管理画面CGIスクリプトのパスを取得する。 (後略)
- by
- at 12:47
