2006年09月28日

ロリポップ「Movable Type」の脆弱性について

ロリポップ!」からメールが来た。

ロリポップとはレンタルサーバー会社で、私も利用している。
月額263円からのプランがあり、マニュアルも充実してるので、まず手始めにレンタルサーバーって何や?という方にはお薦め。


どんなメールかと言うと

件名「【ロリポップ!】「Movable Type」の脆弱性について」

(本文ここから)

 平素はロリポップ!レンタルサーバーをご利用頂き誠にありがとうございます。

 シックス・アパート株式会社(以下、シックス・アパート)が提供する
 ブログシステム「Movable Type」のプログラムにおきまして、
 クロスサイトスクリプティングによる脆弱性が発見されました。

 「Movable Type」をご利用のお客様はバージョンアップを行ってください。
 バージョンアップの方法につきましてはシックス・アパートのニュースを
 ご参照ください。

 【重要】 Movable Type 新バージョンとパッチの提供について

 尚、「Movable Type」のインストールやアップデートに関するサポートは
 弊社では行っておりませんので、シックス・アパートまでお問い合わせください。
 Movable Typeのご利用実態が多いことをふまえ本ご案内をお送りさせて
 頂いております。


 今後ともロリポップ!レンタルサーバーをよろしくお願い致します。

(本文ここまで)


「脆弱性」(ぜいじゃくせい)・・・よろしくない言葉!


いつもいつもみんなのために働いて、買うものも買わず、おいしい物も食べず、帰ってくる時間も遅い。。。そんなあなただからせめて盆と正月くらいはゆっくり休んで、ぜいじゃくせい!


あ、それは「贅沢せい!」でした・・・。



モトイッ!つ・ま・り・

MTプログラムに不備があるので、コンピュータに詳しい人がそこにつけ込んで悪さされるかもよ!

ということ。

  悪さって何さ!

私は悪意あるユーザーではないのでこの場合どこまでできるのかはよくわからないが、

・そこを踏み台にしてスパム行為をされたり
・ブログの中身を見られたり
・最悪、データを消されたりMTを使えなくされたり

するかもしれない。


友人のMovableType マスタースクール講師、kota に聞いてみた。


「バージョンアップはする方がいいけど、そんなに慌てなくていいと思う。
穴があるのは事実だが、Internet Explorer や Outlook Express の穴の方がよっぽど危ないよ。」

というご回答。


IEやOEの穴の方が有名だし、出回ってる数も多いし、対策してないユーザーも多いから、悪さするならまずそこを狙う、ということだろう。


MTのバージョンアップを渋るには、手間を惜しむ他にも理由があって、個別記事のURLが変わってしまうかもしれないから。
URLが変わるとそこについていたページランクが失われるのだ。


バージョンアップしなくていい、わけではないので、とりあえずバックアップをとっておいて対策を考えよう。


MTのメリットを、最近あまり感じなくなった。

この記事へのトラックバックURL
http://trackback.blogsys.jp/livedoor/okiraku_shu/50726411
 
Copyright © Shu Yoshida All Rights Reserved.