MovableType 3.35 の修正内容について

Posted by
ぴろり
Posted at
2007/04/17 21:47
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
MovableType カテゴリ
Movable Type 3.35 日本語版の提供を開始

本日より、Movable Type 3.35日本語版 (以下3.35-ja) の提供を開始いたします。 3.35-jaの主な修正点は、3.34以降に発見されたセキュリティ上の不具合への対策と、インストールの簡略化です。

 前回と同様、今回も3.34との差分を取ってみましたが、全てのユーザについて緊急を要する修正は無い様子。セキュリティに関する修正がアナウンスされていますが、既存サイトについても一部のテンプレートを手作業で修正すれば事足りるようです。データベーススキーマの変更が告知されていますので、アップデートの際には念のためデータベースのバックアップを忘れずに。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  

今回の変更点について

インストール作業の簡略化
 mt-wizard.cgi関係の修正。 ウィザードのお世話になっている人には朗報なのかな?  既に稼動しているサイトでは関係ないようです。
コメント・プレビューでクロスサイトスクリプティングを許す脆弱性
コメント・プレビュー機能で使用されているテンプレートタグの XSS 脆弱性の修正です。 実際は公式を参照して 該当するテンプレートを手作業で修正する必要があります。
convert-dbおよびmt-db2sql.cgiで文字化けする可能性
既に稼動しているMovableTypeのデータベースを移行する際に使用されるスクリプトの修正です。 データベースの移行予定がないなら関係はないですね。
MTDateタグでutc属性を利用すると夏時間の間に不正な日付が出力される
RSSフィードなどでこの属性を使用している場合には時間がずれる可能性があります。 日本の場合、夏時間とはあまり縁が無いのでこれも関係ないっぽいです。
テンプレートの名前カラムのサイズを拡張
テンプレート名につけられる長さが50バイトから255バイトに増えました。 これも現状で動作しているようなら特に重要なアップデートではありません。

ファイルの差分を見る

 3.34 のパッケージとの差分を取った結果は次の通りです。 コメント文中のバージョン番号だけが変更されたファイルはたくさんありますが、 実際の動作に影響する変更はほとんどありません。

mt-wizard.cgi
lib/MT/App/Wizard.pm
lib/MT/App/Bootdtrap
tmpl/wizard/*.tmpl
インストールウィザード関係の修正です。 ブートストラップ部分にディレクトリ変更と環境設定の読み込みが追加されています。
default_templates/comment_preview
コメントプレビュー画面でのXSS脆弱性の修正としてデフォルトテンプレートが修正されています。 既存のサイトでは生成されたテンプレートを夫々、手作業で修正する必要があります。
lib/MT.pm
テンプレート名欄の許容長さの拡張に伴ってデータベーススキーマバージョンが変更されています。 また一部エラーメッセージが正しく翻訳されていなかったバグ修正。
lib/MT/Template.pm
テンプレート名で使用できる文字列長さが変更(50バイト→255バイト)されました。 現状で問題なく稼動しているサイトであれば必須ではありません。
mt-feed.cgi
tools/convert_db
データベースの文字コードに関するバグ修正。 データベースで使用している文字コードで環境を初期化しています。
index.html
MovableType のバージョン表記が修正されています。
php/mt.php
言語ファイルの読み込みに失敗した場合のデフォルト動作が追加されています。 指定された言語ファイルが読み込めなかった場合には英語が使用されます。
php/lib/MTDate.php
php/lib/MTView.php
lib/MT/Template/Contextandler.pm
UTC時間表記での夏時間表記についてのバグ修正。 UTCオプションを指定して時刻を表示しているRSSフィードなどで影響の恐れがあるものの、 日本では実質夏時間が使われていないので影響はなさそうです。
lib/MT/L10N
php/lib/l10n_*.php
 de(ドイツ語)、es(スペイン語)、fr(フランス語)、nl(オランダ語)に関するLocalizationでの追加。 ローカライズに関するファイルとエラーメッセージが追加されました。

最後に

 こちらでざっと眺めてみて感じでは以上です。 とりあえずコメントプレビュー機能をお使いのユーザは早急にテンプレートの修正が必要になりますが、 それ以外の部分ではそれほど緊急と云ったものではないように思えます。 素人調査なので間違っている部分などありましたらご指摘願いますm(_ _)m

 特に今回はそれほどクリティカルな修正は見られませんでした。 最新版が常に最良とは限らないわけで、 必要な時に必要な処置を提案できるMTベンダーであれば理想的ですが、無駄にバージョンアップ作業をして経費を上乗せしたがるMTベンダーにはお気をつけください、ということで。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  



関連記事/トラックバック

関連記事/トラックバックはまだありません

この記事にトラックバックを送るには?

コメントを投稿する

 
 (必須, 匿名可, 公開, トリップが使えます)
 (必須, 匿名可, 非公開, Gravatar に対応しています)
 (必須)
スパム コメント防止のため「投稿確認」欄に ランダムな数字 CAPTCHAについて を入力してから送信してください。お手数ですがご協力のほど宜しくお願いいたします。