「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性が発見されました。
XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在し遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
悪質な攻撃が観測されており、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害が確認されています。
「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)
XMLRPC APIとは
XMLRPCとは、簡単に言うとXML形式のデータをHTTP通信でやり取りをする為のAPI(アプリケーション・プログラミング・インターフェイス ※)です。
※アプリケーション、ソフトウェアとプログラムを繋ぐ仕組み
Movable TypeのXML-RPC APIについて詳しくは、こちらをご覧ください。
対象となるMovableType
Movable Type 4.0 以上(Advanced、Premium も含む)が対象
MovableTypeバージョン毎の対策
MovableType7系ご利用の方
DBやコンテンツのバックアップを取った上で、Movable Type 7 r.5003にアップデートしてください。
MovableType6.5.x以降ご利用の方
DBやコンテンツのバックアップを取った上で、Movable Type 6.8.3 にアップデートしてください。
MovableType4以降~MovableType6.3.x以前ご利用の方
既にサポート終了しているバージョンの為、MovableTypeからアップデート版のリリースはありません。
次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。
- mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
- CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
- PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に RestrictedPSGIApp xmlrpc を設定する
- PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する
対策作業について
ご利用中のMovableTypeバージョンに該当する対策を実施してください。
保守契約をご利用のお客様または納品後3か月以内のお客様
ご利用中のMovableTypeが7又は6.5.x以降の場合
当社でアップデート作業を行います。(追加費用なし)
ご利用中のMovableTypeが6.3.x以前の場合
暫定処置として、アップデートがすぐに行えない場合の対処方法を当社で行います。(追加費用なし)
最新版のMovableTypeにアップデートする場合
保守契約をご利用のお客様でも最新版MovableTypeのアップデートを行いたい場合は、別途費用となります。
ライセンス費用+アップデート費用の他、アップデートにより不具合が発生した場合は、その修正費用が必要となります。
納品後3か月以上のお客様で保守契約をご利用されていないお客様
ご利用中のMovableTypeに応じた対策をお客様で行ってください。
当社が代行して行う事も出来ますが、別途費用が必要となります。
※費用はお客様毎によって異なりますので、見積依頼をしてください。
不正アクセス・不正改ざんされてしまった場合
もし不正アクセス・不正改ざんされてしまった場合の対処方法はこちらをご覧ください。