【重要】Movable type 4.0 以上(Advanced、Premium も含む)」における緊急性の高い脆弱性

前のページに戻る
一覧に戻る
このページはMovableTypeご利用の方が対象です

このページは、2022年08月26日に作成したページです。
このページに掲載しているMovableTypeの仕様・機能・操作手順は、現在リリースされている最新バージョンのMovableTypeと異なる場合がございます。

このページに掲載している
MovableTypeのバージョン:
MovableType4.0以上

Movable type 4.0 以上(Advanced、Premium も含む)にて緊急性の高いセキュリティ上の問題(脆弱性)が確認され、提供元のシックスアパート社により脆弱性対策の施された修正版(Movable Type 7 r.5301、Movable Type 6.8.7、Movable Type Premium 1.53)がリリースされました。

[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)

 

脆弱性の内容

 

コマンドインジェクションの脆弱性 (CWE-74) が存在します。Movable Type の XMLRPC API に、細工したメッセージを POST メソッドで送信することで、任意の Perl スクリプトを実行可能であり、これを通じて OS コマンドの実行も可能です。開発者によると、本脆弱性を悪用してもコマンドの引数に任意の値を与えて実行することはできないとのことです。

XMLRPC APIとは

XMLRPCとは、簡単に言うとXML形式のデータをHTTP通信でやり取りをする為のAPI(アプリケーション・プログラミング・インターフェイス ※)です。

※アプリケーション、ソフトウェアとプログラムを繋ぐ仕組み

Movable TypeのXML-RPC APIについて詳しくは、こちらをご覧ください。

対象となるMovableType

r.5202、6.8.6、Premium 1.52 以前のすべてのバージョン

  • Movable Type (Advanced) 7 r.4207 - r. 5202
  • Movable Type (Advanced) 6.0.0 - 6.8.6
  • Movable Type Premium (Advanced Edition) 1.0 - 1.52

この脆弱性は Movable Type 4.0 以降のすべてのバージョンに存在します。

 

 

MovableTypeバージョン毎の対策

MovableType7系ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 7 r.5301にアップデートしてください。

Movable Type 7 r.5301は当セキュリティ問題のほか、多数の修正および機能改善を行っているそうです。

Movable Type 7 r.5301 リリースノート

 

 

MovableType6.5.x以降ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 6.8.7 にアップデートしてください。

Movable Type 6.8.7は、 2022年 5月19日にリリースした Movable Type 6.8.6 向けパッチを含むセキュリティ問題の修正のみの対応しているそうです。

Movable Type 6.8.7 リリースノート

 

 

MovableType4以降~MovableType6.3.x以前ご利用の方

既にサポート終了しているバージョンの為、MovableTypeからアップデート版のリリースはありません。
次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。

  1. mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
  2. CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
  3. PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に RestrictedPSGIApp xmlrpc を設定する
  4. PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する

対策作業について

ご利用中のMovableTypeバージョンに該当する対策を実施してください。

 

保守契約をご利用のお客様または納品後3か月以内のお客様

 

ご利用中のMovableTypeが7又は6.5.x以降の場合

当社でアップデート作業を行います。(追加費用なし)

 

ご利用中のMovableTypeが6.3.x以前の場合

暫定処置として、アップデートがすぐに行えない場合の対処方法を当社で行います。(追加費用なし)

 

最新版のMovableTypeにアップデートする場合

保守契約をご利用のお客様でも最新版MovableTypeのアップデートを行いたい場合は、別途費用となります。

ライセンス費用+アップデート費用の他、アップデートにより不具合が発生した場合は、その修正費用が必要となります。

 

納品後3か月以上のお客様で保守契約をご利用されていないお客様

 

ご利用中のMovableTypeに応じた対策をお客様で行ってください。

当社が代行して行う事も出来ますが、別途費用が必要となります。
※費用はお客様毎によって異なりますので、見積依頼をしてください。

【重要】Movable type 4.0 以上(Advanced、Premium も含む)」における緊急性の高い脆弱性の関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る
一覧に戻る

カテゴリー

All Rights Reserved Neoworkers

HTML Snippets Powered By : XYZScripts.com