2005年05月14日
【重要】 第三者による不正アクセスを許す危険性の対策について
- コメントする
- トラックバックする
- カテゴリー:MOVABLE TYPE
Movable Type(ムーバブル・タイプ)の脆弱性により、第三者による不正なアクセスが可能であることが確認されました。Movable Typeのセッション管理で使われるCookieの値に、ハッシュ化されたユーザーアカウント情報が含まれており、以下の条件を全て満たした場合に、第三者による不正なアクセスが可能になります。第三者による不正なアクセスが発生する条件:
1. 第三者が、Cookieの値を取得する。
2. 第三者が、Movable Type管理画面CGIスクリプトのパスを取得する。また、このCookieの値が、Atom APIによるログイン時のパスワードとしても利用されているため、Cookieが第三者に漏洩した場合にAtom API対応のBlogクライアントソフトなどで、自由に記事の投稿や削除などの操作が可能になります。
本問題のリスクを軽減する対策をご用意いたしました。ユーザーの皆様には、早急にご対応いただけますようお願い申し上げます。
なお、今後の対応と致しましては、現在出荷中のMovable Type日本語版で今回の対策を含めたバージョン3.16を出荷いたします。提供時期に関しましては、6月上旬を予定しております。
ご多忙の折、皆様にはお手数をおかけしてしましい、大変申し訳ございませんでした。
シックス・アパートスタッフ一同、深くお詫び申し上げます。正しい情報を皆様にいち早くお伝えし、製品の品質向上のため努力してまいりたいと思います。何卒、皆様ご協力のほど、お願い申し上げます。
早めに対応した方が良さそうだ。
Trackback on "【重要】 第三者による不正アクセスを許す危険性の対策について"
このエントリーのトラックバックURL:
"【重要】 第三者による不正アクセスを許す危険性の対策について"へのトラックバックはまだありません。
"【重要】 第三者による不正アクセスを許す危険性の対策について"へのコメントはまだありません。