ImageMagickの脆弱性に対応したケータイキット for Movable Type Ver.1.66の提供を開始

2016年5月10日(火)

2016年5月20日追記

Ver.1.66より新しいバージョンがあります。詳しくはこちらをご覧ください。

複数の脆弱性への対策と安全性の強化を行ったケータイキット for Movable Type 1.66の提供を開始します。すべてのケータイキット for Movable Typeユーザーは、修正版に必ずアップグレードしてください。

Ver.1.65の公開以後に発見された脆弱性への対策を含みます。Ver.1.65をご利用のユーザーもアップグレードしてください。

なお、本バージョンの開発にあたっては、HASHコンサルティング株式会社代表取締役徳丸浩様に多数のご指摘とアドバイスを頂きました。この場を借りて深くお礼申し上げます。

セキュリティアップデートの概要

ImageMagickで発見された脆弱性(ImageTragick CVE-2016-3714他)を始めとした、複数の脆弱性に対応します。

また、未知の攻撃に対する安全性を強化しました。

想定される影響

  • Ver.1.65以前のバージョンには、ImageMagickを利用する環境で、任意のOSコマンドを実行される脆弱性が存在します。
  • Ver.1.65以前のバージョンには、特定の利用環境で、クロスサイトスクリプティングの脆弱性が存在します。

提供を開始するバージョン

以下のページよりダウンロードが可能です。Ver.1.66をダウンロードしてください。

ケータイキット for Movable Type Ver.1.66 ダウンロード

複数Webサーバの環境でご利用の方へ

ロードバランサーを介して複数のWebサーバにてご利用の場合は、新たに追加されたオプション画像ホストを設定することを強く推奨します。

画像ホストの指定については、オンラインマニュアルをご覧ください。

アップグレード手順

ファイルをダウンロードしたら、以下の手順でアップグレード作業を行ってください。

  1. ダウンロードしたzipファイルを解凍します。
  2. 解凍してできたKeitaiKitディレクトリを、Movable Typeのインストールディレクトリにあるpluginsディレクトリにアップロードします。
  3. サイト全体を再構築します。

以上です。

アイデアマンズ株式会社
代表取締役社長
宮永邦彦

これまでのプレスリリース