2022年8月26日
Webサイトの更新管理システム「Movable Type(ムーバブルタイプ)」を提供するシックス・アパート社は2022年8月24日、同製品に脆弱性が内在すること、併せて脆弱性を補修したセキュリティ・アップデートを公表しました。
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html#license
脆弱性が内在する対象製品
- Movable Type (Advanced) 7 r.4207~r.5202
- Movable Type (Advanced) 6.0.0~6.8.6
- Movable Type Premium (Advanced Edition) 1.0~1.52
- Movable Type 4.0 以降のすべてのバージョン
対策方法
プログラムのアップデート
アップデート方法/シックス・アパート公式
最新バージョンプログラムの入手方法
「Movable Type(ムーバブルタイプ)」を提供するシックス・アパート社の公式サイトにて、対策方法が記載されております。
回避策の実施
下記のいずれかの回避策の実施により、当該脆弱性の影響を回避、緩和することができます。- mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
- CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
- PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に RestrictedPSGIApp xmlrpc を設定する
- PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する
想定される影響
第三者が遠隔操作により、悪意のあるプログラムを実行し、下記のような被害が生じる可能性があります。- サーバー内にある非公開ファイルの閲覧、改ざん、削除、盗取(情報漏洩)
- サーバー内へ不正なプログラムをダウンロードし、ウイルスクの感染拡大
- 他社サーバーを攻撃する際の踏み台利用
脆弱性の深刻度
情報セキュリティ対策に関する情報発信を行う、IPA(独立行政法人 情報処理推進機構)でも同日、当該脆弱性が公表され、脆弱性の深刻度を評価するスコア(CVSS v3)は「9.8」(最大10.0)と極めて深刻な脆弱性と評価されています。
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性/IPA
Webサイト セキュリティのことで、お困りではありませんか?
セキュリティサービスを提供できるWeb制作会社は多くありませんが、サンエイは数少ない企業の一社。
多くの中小企業様では、サイバー攻撃から情報やWebサイトを守るための効果的な対策や専門的な知識をお持ちではありません。
私たちはお客様に代わり、お客様の運営されるWebサイトを手頃な費用で保護する仕組みをご提供することができます。
お困りのことがあればお気軽にご相談ください。