はじめに

WinMergeですが基本マージするソフトですが個人的には windows fcぽくつかうことが多いです。

fcコマンドに比べて色付け、２つのウィンドウで比較できるので便利です。

よく使うのは、CSVファイルなど差分とか、プログラムで書いたCSVファイルの比較とか。文字コード、改行、空白など

差分を色分けしてくれるので便利です、SQLのダンプとかの大容量も十分対応できます。

今回は、Movable Typeが脆弱性があったようなので、ソースすべて比べてみました。

日本語版は下記からダウンロード

https://winmergejp.bitbucket.io/

比較してみた。

XMLRPC API を経由した OS コマンドインジェクションの脆弱性を修正しました CVE-2021-20837

Movable Typeの脆弱性で対象となるのは Movable Type 4.0 以降、6.8.2 以前、7 r.5002、MTP 1.46 以前のすべてのバージョンらしいのでまず、

Movable Type 7 r.5003と4902比較

ディレクトリ毎ドラッグアンドドロップでOKです。下記のように対象ディレクトリを選択して比較をクリックで実行します。

２分割ウィンドウで下記のように差分が色分けされます。今回対象のmt-xmlrpc.cgiも差分になっています。

開いてみると下記。。①は、行のイメージで異なっている行を把握できます。②は詳細のコードを左右で比較できます。

MT7だとバージョンが離れているのでいろいろファイルが異なるので

Movable Type6.8.1と6.8.3を比較してみました。mt-xmlrpc.cgi以外はこんな感じ

追記

r.5004 / 6.8.4のバージョン対応で、上記が誤りがあったようです。

間違って、パーミッション、mt-xmlrpc.cgiの削除せず、自分で修正しちゃうひとが出るかもしれないので、更新しておきますね。

PSGI.pmはmt-xmlrpc.cgiと同様の修正がありました。

MT.pmとかは、バージョン番号の差のみ

今回の修正は、mt-xmlrpc.cgiを削除するか。パーミッションの実行権限落としておけばよいみたいです。

バージョンアップできる方は、バージョンアップしたほうがよいですよ。運用とプラグインなど整合性があえば・・

XML-RPCは、wordpressでも脆弱性があったやつなので、使用しなければ、実行権限なしですね。

XML-RPCってのは、外部のサービス、アプリ等から、投稿できるサービスなので使用しないのであれば、削除か実行権限なしを判断してください。

MTの場合、mt.cgi以外ほぼ使用しないので、それ以外は必要に応じて実行権限を付けるのがよいですね。

まぁ。それ以外は、mt-search.cgi、mt-upgrade.cgi、mt-wizard.cgiとかぐらいですかね。

さいごに

WinMergeの紹介でしたが、本来は、Aさん、Bさんが同時に同じソースを修正してしまって。修正を統合するのに便利なソフトです。

ただ、比較機能が強力なので個人的にはよく使います。DOSコマンド　FCもう使ってませんね。。

最近ではgitの使用にWinMerge使われてるみたいですね。

では。。