Movable Type 5.02 リリース

Movable Type 5.02 がリリースされました。

Movable Type 5.02 では、以下のセキュリティに関する修正と多数のバグフィックスが行われており、修正版へのアップグレードを「重要」として強く推奨しています。

アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、サインインしたユーザーが特殊な操作をおこなうと、クロスサイトスクリプティング（XSS）が発生しうる。

また、Movable Type 5.02 以降では、セキュリティ強化の一環として、インストール完了後（mt-config.cgi が存在する場合）mt-check.cgi が自動的に無効化され、直接アクセスしてもシステム情報を表示しない様に変更されています。

インストール後、システム情報を確認するには

管理画面にサインインし、サイドメニューの「ツール > システム情報」から確認する
mt-check.cgi を「mt-check-unsafe.cgi」とリネームします。
リネーム後は 10分間「mt-check-unsafe.cgi」直接アクセスしてシステム情報の確認が行えます。
確認後は、再度、mt-check.cgi へリネームしなおします。

他にも、更新 ping から Technorati を削除や、CPAN モジュールの追加等の変更があります。
詳しくはリリースノートを参照してください。