2xup.org

mt.cfgをかくさないと!

既にたくさんのWeblogで話題になっているMovable Type脆弱性の問題。

まず自分自身が使っている環境以外からクッキーを盗みとることは不可能に近いし、きちんとPCを管理していれば個人レベルの利用ではまずマニュアルに書かれているmt.cfgの保護をまずは優先すべきだと思います。つまるところご自分のmt.cfgがブラウザで開くかどうかをまずチェック。開いてしまうのであれば、方法はいろいろあれどまずは早急にマニュアルを参考にmt.cfgを保護することをおすすめします。

でないとコメントとか検索とかトラックバックでmt.cgiの場所知られるどころか、CGIPathが丸見えです。

Movable Typeをcgi-binディレクトリから実行していない場合は、Movable Typeのインストール先ディレクトリにある.htaccessファイルに以下の数行を加えて、mt.cfgファイルを保護することを推奨します。

<Files mt.cfg>
  <Limit GET>
    deny from all
  </Limit>
</Files>

具体的な対策の前に是非一度確認してみてください!

実際の所、<Limit GET>は不要だそうです。このままだとGETの時のみにしか有効にならず、適切な設定ではないとのこと。なので続きは