Movable Type の XMLRPC API に OS コマンドインジェクションの脆弱性、攻撃時の影響大 | ScanNetSecurity
2021.11.30(火)

Movable Type の XMLRPC API に OS コマンドインジェクションの脆弱性、攻撃時の影響大

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月21日、Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月21日、Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Étienne Gervais 氏とCharl-Alexandre Le Brun 氏が報告を行っている。影響を受けるシステムは以下の通り。

Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.46 およびそれ以前
Movable Type Premium Advanced 1.46 およびそれ以前

 シックス・アパート株式会社が提供する Movable Type の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、Movable Type の XMLRPC API に細工したメッセージを POST メソッドで送信することで、任意の OS コマンドが実行される可能性がある。

 シックス・アパートでは本脆弱性を修正した下記のバージョンをリリースしており、アップデートするよう呼びかけている。IPAでも攻撃が行われた場合の影響が大きい問題であるため、早急にアップデートを実行するよう呼びかけている。

Movable Type 7 r.5003 (Movable Type 7系)
Movable Type 6.8.3 (Movable Type 6系)
Movable Type Advanced 7 r.5003 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.3 (Movable Type Advanced 6系)
Movable Type Premium 1.47
Movable Type Premium Advanced 1.47

 またシックス・アパートでは、古い Movable Type を利用していてアップデートがすぐに行えない場合は、下記の方法で脆弱性の影響を回避、軽減できると案内している。

・mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
・CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
・PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に「RestrictedPSGIApp xmlrpc」を設定する
・PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。

×