Movable Type News

[重要] 第三者による不正アクセスを許す危険性の対策について

Movable Type(ムーバブル・タイプ)の脆弱性により、第三者による不正なアクセスが可能であることが確認されました。Movable Typeのセッション管理で使われるCookieの値に、ハッシュ化されたユーザーアカウント情報が含まれており、以下の条件を全て満たした場合に、第三者による不正なアクセスが可能になります。

第三者による不正なアクセスが発生する条件:
  1. 第三者が、Cookieの値を取得する。
  2. 第三者が、Movable Type管理画面CGIスクリプトのパスを取得する。

また、このCookieの値が、Atom APIによるログイン時のパスワードとしても利用されているため、Cookieが第三者に漏洩した場合にAtom API対応のBlogクライアントソフトなどで、自由に記事の投稿や削除などの操作が可能になります。

本問題のリスクを軽減する対策をご用意いたしました。ユーザーの皆様には、早急にご対応いただけますようお願い申し上げます。

なお、今後の対応と致しましては、現在出荷中のMovable Type日本語版で今回の対策を含めたバージョン3.16を出荷いたします。提供時期に関しましては、6月上旬を予定しております。

ご多忙の折、皆様にはお手数をおかけしてしましい、大変申し訳ございませんでした。

シックス・アパートスタッフ一同、深くお詫び申し上げます。正しい情報を皆様にいち早くお伝えし、製品の品質向上のため努力してまいりたいと思います。何卒、皆様ご協力のほど、お願い申し上げます。

対象となるMovable Typeの製品及びバージョン

Movable Type日本語版の全てのバージョン
  • 3.01D-ja
  • 3.11-ja
  • 3.121-ja
  • 3.122-ja
  • 3.14-ja
  • 3.15-ja
  • 3.151-ja

なお、英語版にも同様の問題が発生します。

この問題に対する対策

本件は、Movable Type の運用環境を整備することで、第三者による不正アクセスの危険性をかなり軽減することができます。

運用環境の整備の方法は、以下のURLをご参照願います。