全ての記事 933 件のうち 19 件の記事が該当しました。 (全 2 ページ)。
最近、あちこちで猛威を振るっている Gumblar(Gumbler) ウィルス。このサイトも感染していないかチェックしてみました。シェルコマンドで怪しいソースコードが紛れ混んでいないか調べるだけの手抜き版ですが、とりあえず今のところは大丈夫そうです。
リリース候補版が公開されている MovableType Motion。先日も魅力を感じないと述べたのだが、インターネットネット上に設置、公開されている野良 Motion にはユーザ登録しないことをお勧めする。唯一の理由は自らをセキュリティの脅威に曝すことになるからだ。
…って書く程でもないですけどね。しかも「たった一つ」じゃないし! SSH がアタックされてログが酷いことになってるよー(泣)とお嘆きのサーバ管理者は多いと思います。簡単にできてその割りに効果的な対策は一つ。SSH のポート番号を変えてやることです。アタックされること自体が大きく減るので、確率的にもセキュリティは破られにくくなります。ついでにログの増加量も劇的に削減できるのでオススメです。
MovableType に含まれる mt-check.cgi を叩かれてしまうと、Perl のバージョンや使用しているプラグインのリスト、インストールされている Perl モジュールのバージョンなどが丸見えになってしまいます。これだけでは悪意のあるユーザからの直接の攻撃対象にはなりませんが、もし将来、何らかのセキュリティ不具合が報告された場合、その不具合を悪用されるための情報を与えることになりかねません。
特にセキュリティ不具合が報告されたバージョンを使い続けているユーザは真剣に考えた方が良い。例えば、MovableType 4.1 を未だに使い続けているユーザだ。「Powered by MovableType 4.1」なんて掲げていること自体、「私はユーザの皆さんを危険に晒していますよ」と鼻水垂らして宣伝していることに等しい。これは MovableType に限らず WordPress や Nucleus、Wiki などにも当てはまる話だ。サイト管理者は自分だけでなく、サイトを訪れるユーザまでもセキュリティ面での危険に晒していることを自覚すべきだろう。
Movable Type 3.35 日本語版の提供を開始本日より、Movable Type 3.35日本語版 (以下3.35-ja) の提供を開始いたします。 3.35-jaの主な修正点は、3.34以降に発見されたセキュリティ上の不具合への対策と、インストールの簡略化です。
前回と同様、今回も3.34との差分を取ってみましたが、全てのユーザについて緊急を要する修正は無い様子。セキュリティに関する修正がアナウンスされていますが、既存サイトについても一部のテンプレートを手作業で修正すれば事足りるようです。データベーススキーマの変更が告知されていますので、アップデートの際には念のためデータベースのバックアップを忘れずに。
Movable Type 3.34日本語版の提供を開始本日より、Movable Type 3.34日本語版 (以下3.34-ja) の提供を開始いたします。
3.34-jaの主な修正点は、3.33以降に発見されたセキュリティ上の不具合への対策と、FastCGIサポートの向上です。
今回リリースされた 3.34ja は XSS 脆弱性の修正が主なポイントになります。
また、バージョンアップ作業は既存のインストールディレクトリにファイルを全て上書きするだけで作業が済みます。
3.33 以前をお使いのユーザは速やかにバージョンアップされることを強くオススメします。
…とまぁこの程度の内容は他の記事にお任せするとして、折角なので 3.34ja での修正内容についてソースコードの変更点と併せて調べてみました。一応、MovableType 技術系サイトですし(笑
mixCipher - mixi Diary Cryptographer
真面目なのかネタなのか良くわからないサービスができました。 是非とも面白い使い方を発掘して欲しいと思います。 お願いします!
今回の修正はバージョン 3.1x を使用されているサイト管理者にとっても重要なものです。 是非とも導入されるよう強くオススメします。