December 23, 2003

Movable Type 2.65 / XMLRPCServer.pm の EUC-JP パッチ

[ Movable Type ]
movabletype.org
We have released a new version of Movable Type, version 2.65, to fix this problem.

Movable Type 2.65 が出ました。

・mt-send-entry.cgi のセキュリティホール修正
・XMLRPCServer.pm のセキュリティーホール修正
・デフォルトテンプレートに Atom syndication template

という内容です。XMLRPCServer.pm の脆弱性は結構深刻ですので、バージョンアップした方がいいでしょう。ただし、修正としてはあまり大きくないので、

movabletype.org
If you'd rather just fix the XML-RPC security issue, you can just replace lib/MT/XMLRPCServer.pm on your server with the new version of XMLRPCServer.pm (this is a ZIP file--extract it and upload the version of XMLRPCServer.pm within to your server in ASCII mode).

とある通り XMLRPCServer.pm だけ 2.65 のそれと入れ替えるだけで対処しても良さそうです。Atom フィードのテンプレートも別途配布されていますし。

XMLRPCServer.pm ですが、Kung-Log などの XML-RPC API クライアントを、EUC-JP パッチを当てた MT でも使えるように、以前パッチを書きました。('Kung-Log を EUC-JP パッチを当てた MT でも使えるように' 参考) 今回の件でオリジナルの XMLRPCServer.pm に変更があったので、2.65 XMLRPCServer.pm 用のパッチを書きました。

XMLRPCServer_2.65_euc.patch

movabletype.org から 2.65 の XMLRPCServer.pm をダウンロードして、このパッチを当てると EUC-JP な MT でも Kung-Log などが使えるようになります。

[naoya@mary naoya]$ ls -la XMLRPCServer.pm
-rw-r--r--    1 naoya    naoya       22870 12月 22 18:45 XMLRPCServer.pm
[naoya@mary naoya]$ patch -p0 < XMLRPCServer_2.65_euc.patch
patching file XMLRPCServer.pm
[naoya@mary naoya]$ ls -la XMLRPCServer.pm
-rw-r--r--    1 naoya    naoya       23560 12月 23 00:00 XMLRPCServer.pm

みらのさんに、2.65 パッチを作るときは取り込んでもらえるよう、連絡しておきます。

Posted by naoya at December 23, 2003 12:01 AM | トラックバック (20)  b_entry.gif
トラックバック [20件]
TrackBack URL: http://mt.bloghackers.net/mt/suck-tbspams.cgi/721
MT2.65の日本語化パッチは少々お待ちを
Excerpt: Movable Type2.65がリリースされました。 しかしながら日本語化パッチは少々お待ちください。 今までだったら即日リリースとかしていたのですが、パッチを作る環境を会社のノートパソコンに移行してしまったので、家からだと作れないのです。 残念ながら今日は祝日ですの...
Weblog: Milano::Monolog
Tracked: December 23, 2003 01:25 AM
Movable Type 2.65
Excerpt: Movable Type 2.65 がでました。今回のバージョンでは、先にでていたメールでの通知機能 mt-send-entry.cgi の SPAM 対策の他、新たにみつかった、XMLRPCServer 機能のセキュリティ問題への対応、そして、デフォルトテンプレートへの Atom Feed の追加です。アップグレー...
Weblog: dh's memoranda
Tracked: December 23, 2003 01:40 AM
MT2.65に移行しました!
Excerpt: Movable Typeの2.65が公開されたので、さっそく本サイト全体を2.64から2.65に移行しました。
Weblog: #BLOG
Tracked: December 23, 2003 06:14 AM
MT2.65に移行しました!
Excerpt: Movable Typeの2.65が公開されたので、さっそく本サイト全体を2.64から2.65に移行しました。
Weblog: #BLOG
Tracked: December 23, 2003 06:14 AM
Movable Type 2.65
Excerpt: NDO::Weblog: Movable Type 2.65 / XMLRPCServer.pm の EUC-JP パッチ 今朝、メールをチェックしたら(昨日は、息子とゲームした後に寝てしまった)、Movable Type 2.65が出てる事を知った。 以前、2.63 -> 2.64にバージョンアップした方法を忘れたので、リンクをたどって...
Weblog: Eiji Weblog
Tracked: December 23, 2003 07:32 AM
MT 2.65 released
Excerpt: blog.bulknews.net: MT 2.65 releasedXMLRPC の脆弱性は危険度高いので、日本語パッチがでるまえに、以下のいずれかを対応したほうがよいでしょう。 僕がMOVABLETYPEを導入してから初めて新しいバージョンが出てきた。一体全体どのようにバージョンアップした...
Weblog: ちょっとニュース
Tracked: December 23, 2003 11:09 AM
MovableType Version 2.65 Released
Excerpt: movabletype.org: NewsA security issue has been found in Movable Type's XML-RPC server. We suggest that all users of Movable Type...
Weblog: HuntingGirledCollective
Tracked: December 23, 2003 12:50 PM
MovableType Version 2.65 Released
Excerpt: movabletype.org: NewsA security issue has been found in Movable Type's XML-RPC server. We suggest that all users of Movable Type...
Weblog: HuntingGirledCollective
Tracked: December 23, 2003 12:51 PM
Movable Type 2.65 リリース
Excerpt: Movable Type 2.65 がリリースされてますね。
Weblog: SHAW's Home Page
Tracked: December 23, 2003 01:37 PM
Movable Type2.65に移行できてんのかな??
Excerpt: Movable Typeを2.65に移行しました。
Weblog: blog@Junkie Surfer Notes
Tracked: December 23, 2003 04:26 PM
【緊急】MT2.65 / セキュリティホール XMLPRCServer.pm
Excerpt:  すでにご存知の方も多いとは思いますが、 movabletype.orgA security issue has been found in Movable Type's XML-RPC server. We suggest that all users of Movable Type upgrade their installations to fix this issue.  と www.movabletype.org に公式発表がある...
Weblog: MTG::MovableTypeGuide
Tracked: December 23, 2003 08:11 PM
【緊急】セキュリティ・アップデート
Excerpt:  すでにご存知の方も多いとは思いますが、 movabletype.orgA security issue has been found in Movable Type's XML-RPC server. We suggest that all users of Movable Type upgrade their installations to fix this issue.  と www.movabletype.org に公式発表がある...
Weblog: *mt::MRU
Tracked: December 23, 2003 08:18 PM
MT 2.65 リリース
Excerpt: MT 2.56の情報役立ちました(^o^)/
Weblog: HagyLog
Tracked: December 23, 2003 08:25 PM
movable type 2.65
Excerpt: movable type 2.65 が昨日にリリースされていました。 各サイトを見てみると、とりあえず XMLRPCServer.pm の修正だけはしとけという感じなので、以下を参考に実施。 NDO::Weblog: Movable Type 2.65 / XMLRPCServer.pm の EUC-JP パッチ...
Weblog: wolog
Tracked: December 24, 2003 10:27 AM
バージョンアップ。
Excerpt: いつの間にか本家の方でMovable Type Ver.2.65が公開されてました。 なんかよくわかりませんが、色々と改良されているらしいので早速バージョンアップ。 詳しいことはMilanoさんを参照のこと。 というか、これなかったらじぇんじぇん解りません。 いつものことながら感謝...
Weblog: PAGE Unknown Weblog Ver.2
Tracked: December 24, 2003 01:58 PM
Movable Type(MT) Version 2.65 リリース
Excerpt: 現在のVersionである2.64から2.65にVersionアップしたようです。 MT2.65の変更点は、dh's memoranda によると、「メールでの通知機能 mt-send-entry.cgi の SPAM 対策の他、新たにみつかった、XMLRPCServer 機能のセキュリティ問題への対応、そして、デフォルトテンプレー...
Weblog: Plog
Tracked: December 27, 2003 01:22 PM
Movable Type(MT) Version 2.65 リリース
Excerpt: 現在のVersionである2.64から2.65にVersionアップしたようです。 MT2.65の変更点は、dh's memoranda によると、「メールでの通知機能 mt-send-entry.cgi の SPAM 対策の他、新たにみつかった、XMLRPCServer 機能のセキュリティ問題への対応、そして、デフォルトテンプレー...
Weblog: Plog
Tracked: December 27, 2003 01:22 PM
Movable Type 2.65+EUC化
Excerpt: 元旦は旨い手作り料理を食べるか寝るかという贅沢な選択肢しかなくて暇なので、遅ればせながら Movable Type を 2.64 から 2.65 にしてみました。 NDO::Weblog の説明を参考に、mt-send-entry.cgi、XMLRPCServer.pm、MT.pm(バージョン文字列の違いのみですが)の置き換え...
Weblog: bricklife.*
Tracked: January 1, 2004 11:48 PM
Movable Type 2.65 リリース
Excerpt: Movable Type のバージョン 2.65 がリリースされてました。XML-RPC 関連に深刻なセキュリティホールがあったそうな。 2.64 からは、mt-send-entry.cgi と XMLRPCServer.pm のみ入れ替えればいいそうです。EUC-JP でmoblog を使っている人は XMLRPCServer.pm にパッチを当...
Weblog: 津田ふみかの日記
Tracked: January 7, 2004 03:43 PM
最初のおためし
Excerpt: MovableType 2.661 をインストールしてみた。 MTエバンジェリストがいた。 NDO::Weblog で、日本語化モジュールとperl スクリプトへのパッチがある。 しかし、たくさん書こうとすると編集がめんどう。emacs キーは使えないし。...
Weblog: First Weblog
Tracked: March 4, 2004 02:08 PM
コメント [10件]

MT2.65を使っています。
EUC-JPでmoblogをすると文字化けするので、
UTF-8に変えました。すると携帯からの文字化けは
解消したのですが、Mac(OS X)から投稿しようと
した時に、カテゴリーとか公開/下書きのプルダウン
メニューが表示されません。(選択すると表示される)
それ以外は大丈夫なんですが・・・。
EUC-JPではMacでそんなことは起こりません。
もちろん、Winではどっちも問題ありません。
できれば、EUC-JPでmoblogしたい(Macユーザもいる
もので)ので、naoya様のXMLRPCServer.pmパッチを
当ててみたいのですが、どうやるのでしょうか?
基本的な質問で申し訳ありません。上記アドレスに
お返事頂けると幸いです。かしこ。

[1] Posted by: 小平 at January 20, 2004 12:06 AM [返信]

2.65 のパッチには僕が書いた EUC-JP パッチが取り込まれていますよ。

[2] Posted by: naoya at January 20, 2004 02:40 AM [返信]

Wow, the spam on your page has gotten out of controll. I don't even know if you'll get this comment or not, but I guess I'll try posting it for the heck of it...They say there's strength in numbers, so I get a couple of others I know to come here and comment, too. Consequentialism is probably the best way to go. If you think about what WILL happen, not what might happen, you can essentially get a better view of what you are dealing with. The problem is, people tend to believe in fate or some sort of predestined life, which is the cornerstone of religious faith. What do you think?

[3] Posted by: Archies Blog Online at February 14, 2004 08:51 AM [返信]

Does Bobo like this page? Sure he does, :) Thanks for your interesting point of view. I share the sentiments, althought I differ with respect to the thought that all conclusions are precluded by the initiating thought. In simple terms, I believe that since we can't know the future, it's better not to conclude a certain fate but rather chose a direction...

[4] Posted by: Bo Bos Blog By Me Bobo at February 14, 2004 08:51 AM [返信]

The General News Blog.us, the place for yep, you guessed it, GENERAL NEWS! Well its kinda more than that, its general news with a liberal twist. Sorry for any conservatives out there in the blogosphere, but if it weren't for the liberals, we'd still be in the stone age...Ok so that's an exaggeration, but you get what I mean. I Hope.

[5] Posted by: General News Blog at February 14, 2004 08:51 AM [返信]

Hank is here, Hank is cool, Hank has fun, Hank's no fool....Hahaha, this and other rhymes can be found at my great blog. But on a more serious note, one just has to consider the political environment in the States right now. We POSSIBLY have a lying President, re weapons of mass destruction not being in IRAQ, but then again we also have two cowboy democrats Dean and Kerry running for the presidency... It is crucial at this time that we vote correctly...George W know's it, but he won't be in office to worry about that much longer:)

[6] Posted by: Hanks blog at February 14, 2004 08:52 AM [返信]

SIke's blog, rants and pissed off messages of Ike.

[7] Posted by: ikes online blog at February 14, 2004 08:52 AM [返信]

Extra, Extra, Get the latest news here, at NEWS BLOG!

[8] Posted by: news blog and more blog at February 14, 2004 08:53 AM [返信]

THe QWERTY Blot, the first 44 letters of the keyboard are the best! Like that old drink, Five Alive....For those of you from the 440's generation....

[9] Posted by: qwerty blot blog at February 14, 2004 08:53 AM [返信]

Tom's Blog: The answer to the bleeding hearts, the liberals, the tree-huggers, and those who prefer Soy to Whole Milk....Sorry, I guess it's pretty obvious what my sentiments are, but joking a part, yes I think it's time for a reality check and such a check takes the form of a little conservativism...and there's nothing wrong with that, let me assure you.

[10] Posted by: toms big bad blog at February 14, 2004 08:53 AM [返信]