Movable Type 5.11 / 5.051 / 4.361 / 4.291 がリリースされました。
[重要] Movable Type 5.11 および、5.051、4.291 セキュリティーアップデートの提供を開始 – MovableType.jp
Movable Type 5.11 / 5.051 / 4.361 / 4.291 は、Movable Type 4 / 5 で確認された複数のバグが修正されており、修正版へのアップグレードを「重要」として強く推奨しています。
Movable Type 4.29、4.36 および 5.1、5.05 を含む以前のバージョンでは、当該製品で管理している情報を、アプリケーション上の一部の操作において、遠隔の第三者により更新、閲覧、変更される可能性があります。
この他、DeniedAssetFileExtensions 環境変数が新しく追加されており、mt-config.cgi に記述する事でユーザがアップロードするファイルの拡張子をブラックリストで制限する事が可能となります。
初期値は以下の通りになっており、初期値に登録されている拡張子の制限を外す場合は、許可する拡張子を除いたリストを作成します。
“ascx,asis,asp,aspx,bat,cfc,cfm,cgi,cmd,com,cpl,dll,exe,
htaccess,htm,html,inc,jhtml,js,jsb,jsp,mht,mhtml,msi,php,php2,php3,php4,
php5,phps,phtm,phtml,pif,pl,pwml,py,reg,scr,sh,shtm,shtml,vbs,vxd”
また、Movable Type 5.01 以降に実装されていた AssetFileExtensions 環境変数が、Movable Type 4.361 / 4.291 にも追加されました。
AssetFileExtensions 環境変数はホワイトリストで、記述した拡張子のみアップロードが可能となります。同じ拡張子を DeniedAssetFileExtensions と AssetFileExtensions に記述した場合、DeniedAssetFileExtensions が優先されファイルをアップロードする事が出来なくなります。