Movable Type 3.35 Sicherheitsupdate
Bereits gestern geisterte die Meldung, Movable Type 3.35 sei veröffentlicht, durch die Mailinglisten. Nun wurde auch ein offizielles Statement nachgeschoben. Es handelt sich um ein kleines Sicherheitsupdate, das neben einer XSS Vulnerability auch kleinere Bugs behebt. Da es wie immer so ist, dass man nur das komplette Movable-Type Installationspaket bekommt und nicht etwa die einzelnen Dateien, die es zum Update benötigt, bietet sich ein Stopfen des Sicherheitsloches per Hand an.
Dazu sucht man im Templates-Tab zunächst nach <$MTCommentPreviewAuthor$> und lässt dies dann per Suchen & Ersetzen durch <$MTCommentPreviewAuthor encode_html="1"$> ausbessern. Dieser Schritt muss für <$MTCommentPreviewEmail$> mit <$MTCommentPreviewEmail encode_html="1"$> und <$MTCommentPreviewURL$> mit <$MTCommentPreviewURL encode_html="1"$> wiederholt werden. Weitere Informationen dazu bietet Announcing Movable Type 3.35. Oder man lädt sich die aktuellste Version von Movable Type komplett herunter.
Werbeunterbrechung
Kommentare und Feedback (4)
Vorheriger Artikel: Mailprobleme, nächster Artikel: re:publica Nachlese
18.04.2007, 11:51
Warum gibt es kein kleines Update-Paket?
18.04.2007, 12:32
Keine Ahnung. Es ist, glaube ich, nach aussen hin nicht bekannt, welche Dateien verändert wurden.
18.04.2007, 15:17
Ich habe schon vor langer Zeit direkt bei 6A den Vorschlag eingebracht.
Nachdem dies auch kurzfristig Einzug gehalten hatte, wurde es wieder abgeschafft. Bleibt als Anwender wieder nur der Weg per Hand. Schade.
Zu 3.35: Ich sehe keine wirklich zwingenden Sicherheitsparameter, der mich zum Update veranlassen sollte. Die Problem mit der deutschen Installation und den Umlauten sind alle noch die alten, nichts behoben. BTW, gut, wenn man jemand kennt, der die Lösung hat. :))
18.04.2007, 16:28
Den oben angegebenen Sicherheitsfix kann man schnell so einbauen und dann kann man auch bis zur nächsten Version warten, denke ich. Nur aufpassen, dass man auch mitbekommt, wann diese veröffentlicht wird ;-).