« チック・コリアがHMV渋谷で初のインストア・イベント! | メイン | パット・メセニー・トリオ、11月にアナポリスでライブ! »
2005年05月18日カテゴリー:ブログ
ブロガー必見! Movable Type の脆弱性対処法について
ちょっと今回はカタイけど重要なお話です。
最近ネット事情に疎くなっていてちょっとお恥ずかしいんですが(^^;、5月12日に Movable Type の配布元である Six Apart から、MTの脆弱性に関する重要な報告がされていました。
Movable Type Publishing Platform: 【重要】 第三者による不正アクセスを許す危険性の対策について
最新のMT1.51でも防げない脆弱性があり、最悪の場合「第三者による不正なアクセスが可能」とのことです。
要するにMTの管理画面(mt.cgi)に他人がログインできてしまう、ということです。
ここにログインされたらどうなるか、MTを使ってらっしゃる方はすぐお分かりだと思います。文字通り「何でも」できちゃいますよね。勝手に記事を改ざんしたり投稿したり、ブログを丸ごと削除、なんてことも可能です。
この脆弱性に対応する次のヴァージョン1.6は、6月上旬リリース予定だそうです。
つまりあと2週間以上あるわけで、放っておくには危険度が高すぎると思います。
Six Apartの上記URLでは、主に二つの対策を提唱しています。
1. mt.cgiのパスを変える。
Movable Type Technotes: 盗聴によるパスワードやCookieの漏洩からの不正アクセスを防止する(1)
これは慣れてない人には結構大変かもしれませんが、可能であればぜひやった方がいいと思います。
幸いこちらのブログの解説が非常に分かりやすく、1ステップずつ解説してくれています。
AdminCGIPath による mt.cgi の利用方法(その2): 小粋空間
私もたった今、こちらを見ながら設定の変更を終えたところです。この記事が無事に投稿できていれば完璧だと思います(^^;
2. ブラウザ側でCookieの保持期間を変更する、また作業が済んだらmt.cgiからログアウトする
Movable Type Technotes: 盗聴によるパスワードやCookieの漏洩からの不正アクセスを防止する(2)
特にログアウトは「日ごろの心がけ」(笑)でできますので、少なくとも使用後のログアウトは必ず実行された方がいいと思います。
実際誰がいつ標的になるのかはわかりませんし、その可能性がどれくらいあるのかもわかりませんが、最悪の結果になってしまってからではすべて手遅れです。
自分のブログを守るために、最善の努力を尽くされることをお勧めします。
投稿者 Kota : 2005年05月18日 13:02
←1日1回1クリックして下さるとウレシイです(^^ゞ
←できたらこちらもクリックよろしくですm(__)m
トラックバック
このエントリーのトラックバックURL:
http://redsky.under.jp/cgi2/mt/mt-tb.cgi/232
コメント
マメにログオフすればいいんじゃないかと思いましたけれど、どうでしょうね?
投稿者 taknom : 2005年05月18日 20:25
taknomさんこんばんは、お久しぶりです!
・・・というか私がすっかりご無沙汰しちゃってるんですよね(^^;
すいませんです。
> マメにログオフすればいいんじゃないかと思いましたけれど、どうでしょうね?
私もちゃんとした知識を持っていないので当てずっぽうの域を出ないのですが、ログオフだけでなく、ブラウザ側でCookieの保存をしないようにしておいた方が安全のような気がします。
いずれにしろこれだけ脆弱性の話が出てしまったと言うことは、もう侵入方法もすっかり広まっていると考えた方がいいと思うので、用心に越したことはないと思っています。
早く3.16が出るといいですね。
ではまた!
投稿者 Kota : 2005年05月18日 23:33
ビビってます。
狙われるほど存在感ありませんが・・
ログアウト気をつけます。
投稿者 オッち : 2005年05月19日 00:13
オッちまいど! 早速どうもです(笑)
> ビビってます。
変に煽るつもりはないんだけどね(^^;
でも大地震とかと一緒で、「万が一」でも起きてしまった後はやっぱり取り返しつかないことが多いからね。
> ログアウト気をつけます。
そうッスね。3.16が出たらすぐバージョンアップした方がいいと思います。
ではまた!
投稿者 Kota : 2005年05月19日 00:22