Movable Type 5のセキュリティアップデートの提供が行われてます。
アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、サインインしたユーザーが特殊な操作をおこなうと、クロスサイトスクリプティング(XSS)が発生しうる。
セキュリティ強化の一環として、Movable Type 5.02 ではインストール完了後に mt-check.cgi が自動的に無効されます。また、数多くのバグ修正をおこなっています。
さらにMovable Type 5は以下の問題を解決したようです。
・ウェブサイト更新pingサービス通知から、Technoratiを削除した。
・ダイナミックパブリシングで、ファイルのビルド前に build_dynamic コールバック処理を追加した 。
・mt-config.cgi-original に DefaultLanguage 環境変数を追記した。
・mt:Link タグに、blog_id モディファイアを追加した。
・Movable Type に同梱して配布するCPANモジュールをいくつか追加した。プラグイン開発者の方はご確認ください。
・mt-check.cgi および mt-wizard.cgi で、 Cache::File を Optional Modules に追加した。
早速ダウンロードして、FTPでアップロード。
アップデートは、すぐ終わりましたよ〜ん。
Movable Type 5.02になりました。