Posted by Jun MUTO on 2006/12/01 in b2evolution
b2evolution の import-mt.php のセキュリティ欠陥
b2evolution公式サイトでセキュリティ勧告「Security Alert: import-mt.php」が掲載されました。
バージョン 0.9.x および 1.x(バージョン 0.9~0.9.0.12、0.9.1~0.9.2、1.6~1.8.5、1.9 が対象)に付属のファイル import-mt.php
にセキュリティ欠陥(security hole)があります。
公式サイトでの記事に訂正が行われ、バージョン 0.9.x は問題がないとされました。
公式サイトのセキュリティ勧告に記載されている回避策は、import-mt.php
ファイルを削除することです。
(Movable Typeからの記事インポート機能を使う時以外は必要のないファイルなので、削除しても通常の動作に支障はありません)
import-mt.php
ファイルのある場所は、バージョン 1.x 系が
/blogs/inc/CONTROL/imports/
で、バージョン 0.9.x 系は
/blogs/admin/
です。ここにある import-mt.php
ファイルを削除してください。
b2evolution公式サイトのフォーラムではすでに実際に被害を受けたという報告もあります。
できる限り速やかに対処をしてください。