診断士の経営視点とSEのシステム技術の両面からIT・システム開発・Web技術+アウトドア情報を提供しています

トップブログでつくるビジネスサイト無料ブログでここまでできるCMSでつくるビジネスサイトウェブ講座&SEOシステム開発個人情報保護Googleでお仕事信州撮っておき情報








スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

[--------] スポンサー広告 | |

MovableTypeにセキュリティホールが見つかった 

MT3.33にバージョンアップする

Movable Typeの脆弱性

SixApartによると、「Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。」とのこと。9月26日 11:15にアップされた最新版 3.33 をインストールすることにした。


まずは現状のバックアップから

サーバ上のMTフォルダのファイルをすべてローカルPC上に退避させる。記事の数はそんなに多くはないが、結構時間がかかった。ロリポップではMTディレクトリを丸ごと保存しておけば大丈夫のはずだが、念のためカスタマイズしたテンプレートや追加したモジュールも保存したので結構手間がかかった。MT/backup20060926

MTの最新版をダウンロード

SixApartのサイトから、対策済みの最新版 MT3.33をダウンロード。TypeKey から SixApartIDに切り替えた とかで、IDも取得することになっている。

ダウンロードしたら、解凍しておく。

サーバのMTディレクトリを削除

バックアップを取ってあるとはいえ、データを削除するのはドキドキものだ。

MT3.33をアップ

解凍した3.33をディレクトリごとアップする。これも結構時間がかかる。

MT3.2のconfigをアップ

旧MTが3.2の場合、configがそのまま使えるとのこと。保存しておいた config をアップする。

mt-check.cgiでチェック

問題ないことを確認。念のため、チェック結果を印刷しておく。

MTにログインしてアップデート実行

MTにログインすると、アップデートしますか?とのメッセージが出る。クリックしてアップデート実行。これは意外なほどすぐ終わった。

例によって再構築は必要だった

そのままブログを確認すると、何も変わっていない。ホットするが、本当にバージョンアップされたのか不安にある。MTのクレジットを見ても 3.2 のままだ。ブログを再構築すると MT3.33に変わった。これでバージョンアップは終了だ。

テンプレートやモジュールは再アップしなくても、3.2でカスタマイズしたものが使われているようだ。mt-staticも削除したのに・・・

プラグインは再アップが必要

ところがよくよくブログを見ると、プラグインを使って順序付けて表示しているカテゴリがダブっている。保存しておいたプラグインのファイルをアップし、権限を設定して再構築する。これで元通りの表示に戻った。

MovableTypeで作るビジネスサイト

MT標準の StyleCatcher のデザインを採用したサイトは、単純にアップデートしただけではスタイルが壊れている。

StyleCatcherでデザインしたサイト レイアウトが乱れています



コメントの投稿













管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL
http://wiz2.blog16.fc2.com/tb.php/135-4dd89459








トップブログでつくるビジネスサイト無料ブログでここまでできるCMSでつくるビジネスサイトウェブ講座&SEOシステム開発個人情報保護Googleでお仕事信州撮っておき情報
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。