Как уже говорилось в предыдущем сообщении, Movable Type — безопасная платформа. Но даже у самых защищённых иногда находятся ошибки. В последний раз обновление по причине безопасности платформы было 152 дня назад (пять месяцев).

Уязвимость не критическая, в данный момент от пользователей не поступало сообщений о применении этой уязвимости, публичные эксплоиты отсутствуют.

Версии MT, которые необходимо обновить: Movable Type 4.0, 4.01, 4.01 (Personal and Commercial), Movable Type 4.1 (Open Source, Personal and Commercial), Movable Type Community Solution 1.0, 1.0a, Movable Type Community Solution 1.5, Movable Type Enterprise Solution 1.0.

Для обновления достаточно заменить один файл (lib/MT/App/Search.pm):

• Для версий 4.0, 4.01 и 4.01a.
• Для 4.1 и 4.1a.

Разработчики Movable Type приносят искренние извинения, что вам приходится в срочном порядке обновлять систему. И они полны решимости сделать подобные обновления настолько редкими, насколько это возможно.

Многие блогеры со временем задумываются о безопасности того продукта, которым они пользуются. Если вам приходится по несколько раз в месяц обновлять движок, чтобы не стать жертвами хакеров и прочих любителей позабавиться — уже скоро это перестанет вам нравится.

Я всегда хотел сравнить безопасность двух платформ: Movable Type и WordPress. Но всё время откладывал. А вчера Анил Даш, вице-президент Six Apart сделал эту работу за меня, проанализировав статистику безопасности этих платформ за несколько лет. Как оказалось, блог на WordPress может быть подвержен опасности в 42 раза больше, чем блог на Movable Type.

График лучше всего отображает реальную ситуацию:

Данные об уязвимостях платформ получены из независимого источника, Департамента национальной безопасности США, что исключает подтасовку результатов. Вы можете самостоятельно проверить эти цифры: для Movable Type и для WordPress.

Почему Movable Type безопаснее

Безопасность Movable Type подтверждается многолетним опытом работы и быстрым устранением обнаруженных проблем. Немалую роль в безопасности MT играет и идеология разработчиков. Анил Даш обращает внимание на следующие особенности:

• Movable Type должен быть безопасным и делать веб лучше: небезопасные платформы могут быть источником для распространения спама, вирусов и других вредоносных программ.
• Обнаруженные уязвимости должны оперативно устраняться, пользователи должны моментально узнавать о способах устранения уязвимости через список рассылки и новости на официальном сайте.
• Необходимо постоянно совершенствовать платформу, самостоятельно выявляя и устраняя возможные уязвимости.

Эти три особенности позволяют многим блогерам во всем мире не беспокоиться о безопасности платформы, а сосредоточиться исключительно на блогинге.

Конечно, Movable Type не идеальная платформа в плане безопасности — уязвимости обнаруживаются даже у самых защищённых продуктов. Но чаще всего пользователь MT обновляет платформу для получения новых функций, а не для устранения уязвимостей.

P.S. Это пост также опубликован на Хабрахабре.

Вчера вышло обновление Movable Type, связанное с безопасностью системы. В официальном блоге называют это обновление обязательным, так что всем срочно обновляться.

Для справки:

• Обновление не содержит каких-то изменений, кроме устрание возможной угрозы безопасности.
• Обновление касается 3-й и 4-й веток MT.
• С момента предыдущего обязательного обновления прошло: для 3-й ветки — 273 дня; для 4-й — 116.

Подробная информация об обновлении.

Скачать обновлённую версию:

• MT 4.01a
• MT 3.36