Tag Archive movabletype

Movable typeにてクロスサイトスクリプティング (CWE-79)の脆弱性(深刻度5.4Medium/CVSS v3 による深刻度)が確認されました。

 

脆弱性の概要

 

Movable Type 7系において、クロスサイトスクリプティング (CWE-79)の脆弱性が確認され、開発元のシックス・アパート株式会社は製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

[重要] Movable Type 7 r.5501 / Movable Type Premium 1.59 の提供を開始（セキュリティアップデート）

クロスサイトスクリプティング（XSS）とは

クロスサイトスクリプティング（XSS）は、代表的なサイバー攻撃の一つで、悪質のあるスクリプトをWebアプリケーションに注入します。これはフォームにコードを入力するといった形で実行されるケースが多いです。注入されたページに訪れたユーザーは、入力された情報に加えCookie情報などを攻撃者に送られる可能性があります。

対象となるMovableType

• Movable Type 7 r.5405 およびそれ以前 (Movable Type 7系)
• Movable Type Premium クラウド版 1.58 およびそれ以前
• Movable Type クラウド版 7 r.5405 およびそれ以前 (Movabe Type 7系)
• Movable Type Advanced 7 r.5405 およびそれ以前 (Movable Type Advanced 7系)
• Movable Type Premium 1.58 およびそれ以前
• Movable Type Premium Advanced 1.58 およびそれ以前

次のバージョン以降にアップデートしてください

この脆弱性に対応したバージョンが公開されていますので、最新版にアップデートしてください。

• Movable Type 7 r.5501 (Movable Type 7系)
• Movable Type Advanced 7 r.5501 (Movable Type Advanced 7系)
• Movable Type Premium 1.59
• Movable Type Premium Advanced 1.59
• Movable Type クラウド版 7 r.5501
• Movable Type Premium クラウド版 1.59

対策作業について

ご利用中のMovableTypeバージョンに該当する対策を実施してください。

 

保守契約をご利用のお客様または納品後3か月以内のお客様

ご利用中のMovableTypeが7又は6.5.x以降の場合

当社でアップデート作業を行います。(追加費用なし)

アップデート作業は、予めスケジュールを決定しテストサイトにて十分検証した上で、本番サイトを更新します。

これら一連の作業スケジュールについては、担当者よりお客様へご連絡いたします。

ご利用中のMovableTypeが6.3.x以前の場合

アップデートバージョンのMovableTypeに対する保守契約はございません。

納品後3か月以上のお客様で保守契約をご利用されていないお客様

ご利用中のMovableTypeに応じた対策をお客様で行ってください。

ご利用中のMovableTypeが7又は6.5.x以降の場合

お客様ご自身でアップデート作業を行ってください。また、テストサイトにて十分検証した上でアップデートしてください。万が一アップデートによりウェブサイトに不具合が発生しても当社ではその責を負う事は出来ません。予めご了承ください。

 

MovableTypeソフトウェア版の最新版のダウンロードについて

MovableTypeソフトウェア版はライセンス購入から1年間、最新バージョンのダウンロードとメールによるテクニカルサポートが提供されています。1年を過ぎた場合、年間メンテナンスライセンスを購入する事で、継続されます。もし、1年を過ぎて年間メンテナンスライセンスを購入していない場合は、再度初回ライセンス購入が必要となります。

 

保守契約同様のアップデート作業を依頼する事も可能です。

保守契約同様のアップデート作業を弊社が行う事も可能ですが、別途費用が必要となります。お見積りをしますので、当社までお問合せください。　お見積り費用は、お客様のウェプサイトの事情によって変わりますので、こちらでの明示はしていません。(参考料金 : 5,5000円～)

ご利用中のMovableTypeが6.3.x以前の場合

これを機会に最新版のMovableTypeへアップグレードする事をお勧めしますが、予算の関係上難しい場合はリスクを承知の上でご利用してください。

万が一脆弱性の放置により、お客様に損害が生じても当社ではその責を負う事は出来ません。予めご了承ください。

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性が発見されました。

XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在し遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。

悪質な攻撃が観測されており、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害が確認されています。

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について（JVN#41119755）

 

XMLRPC APIとは

XMLRPCとは、簡単に言うとXML形式のデータをHTTP通信でやり取りをする為のAPI(アプリケーション・プログラミング・インターフェイス ※)です。

※アプリケーション、ソフトウェアとプログラムを繋ぐ仕組み

Movable TypeのXML-RPC APIについて詳しくは、こちらをご覧ください。

対象となるMovableType

Movable Type 4.0 以上（Advanced、Premium も含む）が対象

 

 

MovableTypeバージョン毎の対策

MovableType7系ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 7 r.5003にアップデートしてください。

MovableType6.5.x以降ご利用の方

DBやコンテンツのバックアップを取った上で、Movable Type 6.8.3　にアップデートしてください。

MovableType4以降～MovableType6.3.x以前ご利用の方

既にサポート終了しているバージョンの為、MovableTypeからアップデート版のリリースはありません。
次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。

1. mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
2. CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
3. PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に RestrictedPSGIApp xmlrpc を設定する
4. PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する

対策作業について

ご利用中のMovableTypeバージョンに該当する対策を実施してください。

 

保守契約をご利用のお客様または納品後3か月以内のお客様

 

ご利用中のMovableTypeが7又は6.5.x以降の場合

当社でアップデート作業を行います。(追加費用なし)

 

ご利用中のMovableTypeが6.3.x以前の場合

暫定処置として、アップデートがすぐに行えない場合の対処方法を当社で行います。(追加費用なし)

最新版のMovableTypeにアップデートする場合

保守契約をご利用のお客様でも最新版MovableTypeのアップデートを行いたい場合は、別途費用となります。

ライセンス費用+アップデート費用の他、アップデートにより不具合が発生した場合は、その修正費用が必要となります。

 

納品後3か月以上のお客様で保守契約をご利用されていないお客様

ご利用中のMovableTypeに応じた対策をお客様で行ってください。

当社が代行して行う事も出来ますが、別途費用が必要となります。
※費用はお客様毎によって異なりますので、見積依頼をしてください。

 

不正アクセス・不正改ざんされてしまった場合

もし不正アクセス・不正改ざんされてしまった場合の対処方法はこちらをご覧ください。