LocalScope::で書いたように MovableType 2.65 が出ました。セキュリティフィックスの場合は、XMLRPCServer.pm だけ差し換えれば良し、と書かれているので、XMLRPCServerを、新旧版で差分みてみました。(すでに入れ替えましたが)
修正は、大きく分けて3点のようです。
(MTを全部読んでいるわけではなく、diffと一部読みかじりの推測)
XMLRPCServer オブジェクトの生成に失敗したときの挙動の修正
呼ばれる _fault メソッドを、自身のものになるように強制
ISOフォーマットのタイムスタンプの解釈時に、タイムゾーンの解釈を入れた
ISO8601フォーマットに完全準拠してなかったのですね。MT の間だったら問題なかったとも言えます。でも、UTC 指定の Z をつけていないのはなぜだろうなぁ。上記W3Cのメモにも、Z なかったらUTCとはかいてないみたいなんですけどね。
MTの間だったら、たぶん、(今回)Zつけるようにしても古いバージョンとのインターオペラビリティは保てる(正規表現で文字末にアンカーしてないから)ように思うのですけど、なんでかな。
Postするときのカテゴリ解釈のバグ
たぶん、これがセキュリティ問題なのだと思うのですが、カテゴリの設定をするメソッド(setPostCategory)の実行権限が、前は「ポストできる」という権限でチェックされていたようです。これは、「エントリを編集できる」権限に変更されています(より包括的で安全でしょう)。
結果、カテゴリをセットしまくる嫌がらせはできるので、早めに入れ替えた方がいいですが、それほどムチャクチャ心配するような問題でもなさそうですね。
間違いあったら、コメントください。
# このブログ、月刊エントリになっててちょっと寂しいなぁ。。