mtの最近のブログ記事

Movable Type にクロスサイトスクリプティングの脆弱性があったそうな

JVN#68295640
Movable Type の検索機能におけるクロスサイトスクリプティングの脆弱性

シックス・アパート
【重要】 Movable Type 新バージョンとパッチの提供について

あぶないあぶない

MovableType 3.2にバージョンアップしました。

標準環境で迷惑コメントや、迷惑トラックバックを弾いてくれるので、
バージョンアップした後に手を加えなくていいのは非常にうれしい。

いきなり「迷惑コメント/トラックバック」にスパムがたまってまして、
自動削除「ON」、削除するまでの日数「7日」に設定しておきました。

...
Berkeley DB環境では不具合があったようですね
うちはMysql環境でよかった(^.^)。

こんなのどうでしょう
ａｐａｃｈｅを自分で設定可能なら、Refererによるブロックも有効みたい

httpd.confに設定追加の場合

<Directory "/cgi-bin/mt/"> #CGIPathのディレクトリ
SetEnvIf Referer ^http://www\.b-dash\.net local  #自サイトのURLを環境変数localにセット
<FilesMatch "mt-comments\.cgi$">
order deny,allow
deny from all
allow from env=local
</FilesMatch>
</Directory>

.htaccessに記述の場合

SetEnvIf Referer ^http://www\.b-dash\.net local  #自サイトのURLを環境変数localにセット
<FilesMatch "mt-comments\.cgi$">
order deny,allow
deny from all
allow from env=local
</FilesMatch>

環境変数localにセットされた呼び出しに対してのみmt-comments.cgiへのアクセスを許可します。
直接mt-comments.cgiにアクセスがあった場合、403エラーを返します。

うちみたいなとこでも、コメントスパムが酷いことになってきたので
MovableType 3.11に急遽アップデートしました。

久しぶりにテンプレートと格闘して、疲れた。

Movable Type の表示が環境によっては崩れてしまうようなので、見直しを行う。

なるべく手を加えずおとなしくしようと思っていたけど、
いろいろいじり始めると後を引きます。