Movable type 4.0 以上(Advanced、Premium も含む)にて緊急性の高いセキュリティ上の問題(脆弱性)が確認され、提供元のシックスアパート社により脆弱性対策の施された修正版(Movable Type 7 r.5301、Movable Type 6.8.7、Movable Type Premium 1.53)がリリースされました。
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
脆弱性の概要
コマンドインジェクションの脆弱性 (CWE-74) が存在します。Movable Type の XMLRPC API に、細工したメッセージを POST メソッドで送信することで、任意の Perl スクリプトを実行可能であり、これを通じて OS コマンドの実行も可能です。開発者によると、本脆弱性を悪用してもコマンドの引数に任意の値を与えて実行することはできないとのことです。
XMLRPC APIとは
XMLRPCとは、簡単に言うとXML形式のデータをHTTP通信でやり取りをする為のAPI(アプリケーション・プログラミング・インターフェイス ※)です。
※アプリケーション、ソフトウェアとプログラムを繋ぐ仕組み
Movable TypeのXML-RPC APIについて詳しくは、こちらをご覧ください。
対象となるMovableType
r.5202、6.8.6、Premium 1.52 以前のすべてのバージョン
- Movable Type (Advanced) 7 r.4207 - r. 5202
- Movable Type (Advanced) 6.0.0 - 6.8.6
- Movable Type Premium (Advanced Edition) 1.0 - 1.52
この脆弱性は Movable Type 4.0 以降のすべてのバージョンに存在します。
MovableTypeバージョン毎の対策
MovableType7系ご利用の方
DBやコンテンツのバックアップを取った上で、Movable Type 7 r.5301にアップデートしてください。
Movable Type 7 r.5301は当セキュリティ問題のほか、多数の修正および機能改善を行っているそうです。
MovableType6.5.x以降ご利用の方
DBやコンテンツのバックアップを取った上で、Movable Type 6.8.7 にアップデートしてください。
Movable Type 6.8.7は、 2022年 5月19日にリリースした Movable Type 6.8.6 向けパッチを含むセキュリティ問題の修正のみの対応しているそうです。
MovableType4以降~MovableType6.3.x以前ご利用の方
既にサポート終了しているバージョンの為、MovableTypeからアップデート版のリリースはありません。
次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。
- mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
- CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
- PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に RestrictedPSGIApp xmlrpc を設定する
- PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する
対策作業について
ご利用中のMovableTypeバージョンに該当する対策を実施してください。
保守契約をご利用のお客様または納品後3か月以内のお客様
ご利用中のMovableTypeが7又は6.5.x以降の場合
当社でアップデート作業を行います。(追加費用なし)
アップデート作業は、予めスケジュールを決定しテストサイトにて十分検証した上で、本番サイトを更新します。
これら一連の作業スケジュールについては、担当者よりお客様へご連絡いたします。
ご利用中のMovableTypeが6.3.x以前の場合
アップデートバージョンのMovableTypeに対する保守契約はございません。
納品後3か月以上のお客様で保守契約をご利用されていないお客様
ご利用中のMovableTypeに応じた対策をお客様で行ってください。
ご利用中のMovableTypeが7又は6.5.x以降の場合
お客様ご自身でアップデート作業を行ってください。また、テストサイトにて十分検証した上でアップデートしてください。万が一アップデートによりウェブサイトに不具合が発生しても当社ではその責を負う事は出来ません。予めご了承ください。
保守契約同様のアップデート作業を依頼する事も可能です。
保守契約同様のアップデート作業を弊社が行う事も可能ですが、別途費用が必要となります。お見積りをしますので、当社までお問合せください。 お見積り費用は、お客様のウェプサイトの事情によって変わりますので、こちらでの明示はしていません。(参考料金 : 5,5000円~)
ご利用中のMovableTypeが6.3.x以前の場合
これを機会に最新版のMovableTypeへアップグレードする事をお勧めしますが、予算の関係上難しい場合は上記の方法を対策してください。
この作業を弊社に依頼する事も可能ですが、別途費用が必要となります。お見積りをしますので、当社までお問合せください。 お見積り費用は、お客様のウェプサイトの事情によって変わりますので、こちらでの明示はしていません。