MovableTypeに脆弱性が見つかったので対処しました。
最近、ここのブログは、ほぼ放置中なのですが、セキュリティーホールをほっとくわけにはいかないので対処しました。
まずは、使ってもいないAtom APIのCGIの実行権限をOFFに。
chmod -x mt-atom.cgi
という感じでMovableTypeのCGIフォルダのmt-atom.cgiの実行権限をOFFにした。
次にAdminCGIPathでmt.cgiの場所をわかりにくくしようと対策。
mt.cgiの入っているフォルダまるごと別のフォルダにコピーして、元の所のmt.cgiを削除。
mt.cfgにAdminCGIを追加、ApacheのScriptAliasを追加してApache再起動。
これでOKのようです。
mt.cgiのフォルダをそのままコピーするのがイヤだったら、以下のサイトをどうぞ。
AdminCGIPath による mt.cgi の利用方法(その2): 小粋空間
ですが、mt.cgi 起動時に設定される lib や extliib、および mt.cfg のパスに、移動前のディレクトリを設定することで他のディレクトリやファイルのコピーは不要となり、mt.cgi も正常に動作することを確認しました。
とのことですが、ちょっと面倒そうだったので、自分はやってません(^^;
[2005.5.22追記]
これやっちゃうとEntryの画面に追加した「編集」のリンクが効かなくなります。まぁ、ここにmt.cgiのパスが出てたら、意味ないんですけどね。消しちゃおうかな。
