この度、CMS「Movable Type 4.0 以上」(Advanced、Premium も含む)の環境において緊急性の高い脆弱性が発見され、提供元より修正版が公開されました。
これを受け、弊社サーバー内においても「Movable Type」をご利用頂いているお客様がいらっしゃるため、以下の通りご案内申し上げます。
古いバージョンの「Movable Type」を使用されているお客様におかれましては、速やかに以下の内容をご確認頂き、最新バージョン(Movable Type 7 r.5301、6.8.7及びPremium 1.53)へのアップデートを行ってくださいますようお願いいたします。
既に「Movable Type」を利用していないものの、サーバー内にインストール済みのデータが残っているお客様は削除をお願いいたします。
脆弱性を確認したバージョン 既にサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョン
脆弱性の影響
Movable Type の XMLRPC API には、コマンド・インジェクションの脆弱性が存在します。
本脆弱性を修正済みのMovable Typeにバージョンアップされない場合、遠隔の第三者によって任意のPerlスクリプトを実行される可能性があります。その結果、任意のOSコマンドを実行される可能性があります。
対応方法(アップデート方法)
Movable Type 提供元のシックス・アパート株式会社より本脆弱性を修正したバージョンが公開されています。
以下のサイトをご確認いただき、速やかにバージョンアップを実施してください。
アップデートの前に必ず現データのバックアップを取得してください。
速やかにバージョンアップが行えない場合は XMLRPC API 機能を無効化することで影響を回避・軽減することが可能となります。対応方法など詳細については、以下のサイトよりご確認ください。
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート) - SixApart
その他 本脆弱性に限らず、WordPressをはじめとしたプログラムをご利用のお客様は、セキュリティ上の観点から最新版へのアップデートを行い、プログラムを最新の状態に保つようご協力をお願いいたします。 このたびの脆弱性以外でも、脆弱性のあるプラグインを悪用される被害や簡易なパスワード設定を悪用される被害事例が相次いでいます。併せて対策をご検討ください。