MovableTypeはシックス・アパート社が提供するCMS(コンテンツ管理システム)ですが、Wordpressと並んで人気のCMSであり、当社でも提案しているCMSです。
このMovableTypeに緊急性のある脆弱性が発覚しました。
MovableTypeを利用しているウェブサイト管理者様は、以下を確認して早急に対処してください。
脆弱性の概要
MovableTypeには、コードインジェクション、SQLインジェクションの脆弱性が存在する事が発見されました。
この脆弱性を悪用された場合、任意のPerlコードやSQLコマンドを実行される可能性がございます。
その結果、以下のような被害が発生するおそれがあります。
- サイトの内容を書き換えられる
- 管理者権限を乗っ取られる
- 不正プログラムの設置
各種発表
以下のサイトで、この脆弱性についての詳しい情報が記載されています。
対象のMovableType、Movable Type Advanced
- 9.1.0 およびそれ以前(9.1系)
- 9.0.6 およびそれ以前(9.0系)
- 8.8.2 およびそれ以前(8.8系)
- 8.0.9 およびそれ以前(8.0系)
当社のお客様にはおりませんが、Movable Type Premium / Movable Type Premium Advanced Edition及び、Movable Type Premium / Movable Type Premium Advanced Edition / Movable Type Premium MT8ベース にも対象製品がございますので、ご確認ください。
以下のサポートが終了した製品も影響します
- Movable Type 5.1系すべて
- Movable Type 5.2系すべて
- Movable Type 6系すべて
- Movable Type 7系すべて
- Movable Type 8.4系すべて
- Movable Type Premium 1系すべて
必要な対策
サポート中のMovable Type をご利用されている場合
Movable Type 8.0系、8.8系、9.0系、9.1系はシックス・アパートの公式サポート中の為、当脆弱性に対応したバージョンがリリースされております。
早急に、アップデート(又はアップデート依頼)をしてください。
ライセンスが有効かご注意
Movable Typeのソフトウェア版は、購入から1年間のメンテナンス期間が設けられており、1年を過ぎても利用し続ける事が可能ですが、年間メンテナンスライセンスを購入しないと最新バージョンを入手する事ができません。
もし購入から1年以上経過している場合でも、年間メンテナンスライセンスを購入する事ができる為、ライセンス購入の上アップデートしてください。
サポートされていないMovable Type をご利用されている、メンテナンスライセンス購入予算が直ぐには厳しい場合
Data API を経由する攻撃については、以下の方法でData APIを利用不可とすることにより回避する事が可能となります。ただし回避策は Data API を経由した攻撃の緩和にのみ有効で、それ以外の方法での攻撃には、十分な対策とはなりません。 あくまでも一時的な対策としてお考えください。
また、Data APIを利用不可にした場合は、以下の機能が動作しなくなります。
- フロントエンドがAPI経由で記事取得している場合
- 外部システム連携している場合
- スマホアプリから記事投稿している場合
- Zapier 、Make 連携している場合
- 別サイトから、Movable Typeの記事を取得して表示している場合
お客様別の対応について
当社で制作したウェブサイトの場合
サイト保守サービスを利用していて、保守内容にアップデートも含まれる場合
直ちにアップデート致します。
※この保守サービス利用の場合は、メンテナンスライセンスは有効です。