今回の変更点について

インストール作業の簡略化

　mt-wizard.cgi関係の修正。 ウィザードのお世話になっている人には朗報なのかな？ 　既に稼動しているサイトでは関係ないようです。

コメント・プレビューでクロスサイトスクリプティングを許す脆弱性

コメント・プレビュー機能で使用されているテンプレートタグの XSS 脆弱性の修正です。 実際は公式を参照して 該当するテンプレートを手作業で修正する必要があります。

convert-dbおよびmt-db2sql.cgiで文字化けする可能性

既に稼動しているMovableTypeのデータベースを移行する際に使用されるスクリプトの修正です。 データベースの移行予定がないなら関係はないですね。

MTDateタグでutc属性を利用すると夏時間の間に不正な日付が出力される

RSSフィードなどでこの属性を使用している場合には時間がずれる可能性があります。 日本の場合、夏時間とはあまり縁が無いのでこれも関係ないっぽいです。

テンプレートの名前カラムのサイズを拡張

テンプレート名につけられる長さが50バイトから255バイトに増えました。 これも現状で動作しているようなら特に重要なアップデートではありません。

ファイルの差分を見る

　3.34 のパッケージとの差分を取った結果は次の通りです。 コメント文中のバージョン番号だけが変更されたファイルはたくさんありますが、 実際の動作に影響する変更はほとんどありません。

mt-wizard.cgi

lib/MT/App/Wizard.pm

lib/MT/App/Bootdtrap

tmpl/wizard/*.tmpl

インストールウィザード関係の修正です。 ブートストラップ部分にディレクトリ変更と環境設定の読み込みが追加されています。

default_templates/comment_preview

コメントプレビュー画面でのXSS脆弱性の修正としてデフォルトテンプレートが修正されています。 既存のサイトでは生成されたテンプレートを夫々、手作業で修正する必要があります。

lib/MT.pm

テンプレート名欄の許容長さの拡張に伴ってデータベーススキーマバージョンが変更されています。 また一部エラーメッセージが正しく翻訳されていなかったバグ修正。

lib/MT/Template.pm

テンプレート名で使用できる文字列長さが変更(50バイト→255バイト)されました。 現状で問題なく稼動しているサイトであれば必須ではありません。

mt-feed.cgi

tools/convert_db

データベースの文字コードに関するバグ修正。 データベースで使用している文字コードで環境を初期化しています。

index.html

MovableType のバージョン表記が修正されています。

php/mt.php

言語ファイルの読み込みに失敗した場合のデフォルト動作が追加されています。 指定された言語ファイルが読み込めなかった場合には英語が使用されます。

php/lib/MTDate.php

php/lib/MTView.php

lib/MT/Template/Contextandler.pm

UTC時間表記での夏時間表記についてのバグ修正。 UTCオプションを指定して時刻を表示しているRSSフィードなどで影響の恐れがあるものの、 日本では実質夏時間が使われていないので影響はなさそうです。

lib/MT/L10N

php/lib/l10n_*.php

　de(ドイツ語)、es(スペイン語)、fr(フランス語)、nl(オランダ語)に関するLocalizationでの追加。 ローカライズに関するファイルとエラーメッセージが追加されました。

最後に

　こちらでざっと眺めてみて感じでは以上です。 とりあえずコメントプレビュー機能をお使いのユーザは早急にテンプレートの修正が必要になりますが、 それ以外の部分ではそれほど緊急と云ったものではないように思えます。 素人調査なので間違っている部分などありましたらご指摘願いますm(_ _)m

　特に今回はそれほどクリティカルな修正は見られませんでした。 最新版が常に最良とは限らないわけで、 必要な時に必要な処置を提案できるMTベンダーであれば理想的ですが、無駄にバージョンアップ作業をして経費を上乗せしたがるMTベンダーにはお気をつけください、ということで。