[重要] ケータイキット for Movable Type 1.65 の提供を開始
2016年4月23日(土)
2016年5月10日追記
Ver.1.65より新しいバージョンがあります。詳しくはこちらをご覧ください。
ケータイキット for Movable Type で確認されたセキュリティ問題の修正バージョンとして、ケータイキット for Movable Type 1.65 の提供を開始します。すべてのケータイキット for Movable Type ユーザーは、修正版に必ずアップグレードしてください。
※1.641用の緊急パッチファイルを適用された場合でも、必ずアップグレードをしてください。
セキュリティアップデートの概要
ケータイキット for Movable Typeの、1.35 以降のバージョンから、1.641 までには、画像処理機能にOS コマンドインジェクションの脆弱性が存在します。
想定される影響
- ケータイキット for Movable Type の画像処理機能には、OS コマンドインジェクションの脆弱性が存在します。悪意のある任意のリクエストパラメータにより、任意の OS コマンドを実行される可能性があります。
影響を受けるバージョン
- ケータイキット for Movable Type の、1.35 以降のバージョンから、1.641 まで。
提供を開始するバージョン
対象となるバージョンをお使いの場合は、以下の修正済みバージョンに必ずアップグレードしてください。
以下のページよりダウンロード可能です。
http://www.keitaikit.jp/download/plugin.php
※ダウンロードバージョンは、1.65
アップグレード手順
ファイルをダウンロードしたら、以下の手順を参考にアップグレード作業をおこなってください。
ダウンロードしたzipファイルを解凍します。
解凍してできたフォルダの中にあるKeitaiKitフォルダを、以下のディレクトリと差し替えます。
Movable Typeのインストールディレクトリ/plugins/KeitaiKit
セキュリティアップデート適用後に必要な作業
- ケータイキット for Movable Type 1.64 以降をお使いの方は、必要な作業はございません。
- ケータイキット for Movable Type 1.35 から、1.63 までをお使いの方は、ウェブサイトとブログの全体再構築を実施してください。
セキュリティアップデート適用後に影響を受ける機能
本セキュリティアップデートにより影響を受ける機能はございません。
2016.04.23 19:30追記 各バージョンの緊急パッチファイルの提供を開始
なにかしらの理由により、最新版へのセキュリティバージョンアップが一時的に出来ない場合の対処として、以下のバージョンに対応するパッチファイルの提供を開始しました。
2016年5月10日追記
緊急パッチは十分に安全ではありません。最新バージョン 1.66にバージョンアップしてください。詳しくはこちらをご覧ください。
緊急パッチファイルに対応するバージョン
提供するパッチファイルの対応バージョンは、以下のとおりです。該当するバージョンのファイルをダウンロードしてください。
- 1.35用
- 1.36用
- 1.37用
- 1.38用
- 1.39用
- 1.40用
- 1.41用
- 1.42用
- 1.43用
- 1.44用
- 1.45用
- 1.451用
- 1.452用
- 1.453用
- 1.47用
- 1.471用
- 1.48用
- 1.49用
- 1.50用
- 1.60用
- 1.61用
- 1.62用
- 1.621用
- 1.622用
- 1.63用
- 1.631用
- 1.632用
- 1.64用
- 1.641用
※ダウンロードには、ケータイキット for Movable Type のライセンスキーが必要となります。
※ダウンロードする際に、基本認証のダイアログが表示されます。IDおよびパスワードの入力欄に、それぞれライセンスキーを入力してください。
※ライセンスキーは、ご購入時のメールまたは Movable Type の管理画面よりご確認ください。
パッチ適用手順
ファイルをダウンロードしたら、以下の手順を参考に、パッチ適用作業をおこなってください。
以下のファイルに対し、ファイルの差し替えを実施してください。
Movable Typeのインストールディレクトリ/plugins/KeitaiKit/php/KeitaiGraphic.php
セキュリティバージョンアップおよび上記の緊急パッチ適用ができない場合
ケータイキット for Movable Type 最新版へのセキュリティアップデートおよび上記の緊急パッチファイルの適用ができない場合は、以下の対応を行うことで脆弱性の回避を行うことができます。
ケータイキット for Movable Type のプログラムファイルを削除します。削除するディレクトリは以下のとおりです。
Movable Typeのインストールディレクトリ/plugins/KeitaiKit
この対応により、ケータイキット for Movable Type は動作しなくなります。お早めに最新版のインストールを実施してください。
詳しいアンインストール方法については、ユーザー向けの特設情報ページに記載しております。合わせてご参考ください。
以上です。
アイデアマンズ株式会社
代表取締役社長
宮永邦彦