あなたの MovableType、裸の王様になっていませんか?

Posted by
ぴろり
Posted at
2008/09/14 15:11
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
MovableType カテゴリ

 MovableType に含まれる mt-check.cgi を叩かれてしまうと、Perl のバージョンや使用しているプラグインのリスト、インストールされている Perl モジュールのバージョンなどが丸見えになってしまいます。これだけでは悪意のあるユーザからの直接の攻撃対象にはなりませんが、もし将来、何らかのセキュリティ不具合が報告された場合、その不具合を悪用されるための情報を与えることになりかねません。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  

対処方法

 インストールが完了すれば普段、特に必要になることもないので、スクリプトファイルの実行権限自体を外してしまうのが簡単かつ確実です。ただ、管理メニューのシステム情報が使用できなくなります。

 もう一つは、ファイル名を予測されにくいものに変更し、環境設定ファイル(mt-config.cgi) 内で CheckScript 環境変数で変更したファイル名を指定する方法です。

CheckScript mt-secret-check.cgi

 実害はほとんどありませんが、気になる人は対処しておきましょう。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  



関連記事/トラックバック

関連記事/トラックバックはまだありません

この記事にトラックバックを送るには?

コメントを投稿する

 
 (必須, 匿名可, 公開, トリップが使えます)
 (必須, 匿名可, 非公開, Gravatar に対応しています)
 (必須)
スパム コメント防止のため「投稿確認」欄に ランダムな数字 CAPTCHAについて を入力してから送信してください。お手数ですがご協力のほど宜しくお願いいたします。