Movable Type に発見されたセキュリティ問題を解消した修正バージョンとして Movable Type 7 r.5003 の提供を開始します。また、これに伴い、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.47 をリリースします。
セキュリティに関する修正となりますので、必ずアップデートをお願いします。
【2021/12/16 追記】
本リリースにおける XMLRPC API への OS コマンドインジェクションの脆弱性への修正が不十分であることがわかりました。脆弱性への対策として Movable Type 7 r.5005、Movable Type 6.8.5、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.49 をリリースしています。ご確認およびご対応をお願いいたします。
詳細は、12/16 のニュースをご参照ください。
[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート)
【2021/12/1 追記】
12/1 に Movable Type パッケージ版において、複数の問題を解消した最新バージョンをリリースしています。現時点での最新バージョンは Movable Type 7 r.5004、Movable Type 6.8.4、Movable Type Premium 1.48 となります。
詳細は、12/1 のニュースをご参照ください。
Movable Type 7 r.5004 / 6.8.4 、Movable Type Premium 1.48 の提供を開始(パッケージ版のみ)
【2021/11/22 追記】
脆弱性を利用した攻撃を受けてしまった場合には、次のような対処を行ってください。
- 不正な利用や情報漏洩などがないかサーバのログを確認し、攻撃や被害を確認する
- サーバ上に不明なファイル、データや変更されたファイル、データがないか確認し、攻撃や被害を確認する
- 攻撃前のバックアップデータからサーバを復元し、最新版のソフトウェアへのアップデートを行う、もしくは対策を行う
【2021/11/9 追記】
悪質な攻撃が観測されており、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害が確認されています。対象となるのは Movable Type 4.0 以降、6.8.2 以前、7 r.5002、MTP 1.46 以前のすべてのバージョンです。対象のバージョンをご利用の方は、対策済の 7 r.5003、Movable Type Premium 1.47 もしくは 6.8.3 へのアップデート、または XMLRPC API へのアクセスを制限する対処を直ちに行なってください。
ニュース目次
セキュリティ問題の修正について
XMLRPC API を経由した OS コマンドインジェクションの脆弱性を修正しました。詳細はそれぞれのリリースノートをご確認ください。
対象となるバージョン
- Movable Type 4.0 以上(Advanced、Premium も含む)が対象
Movable Type 7 r.5003について
今回のバージョンでは本セキュリティ問題の修正のみの対応となります。
Movable Type Premium / Movable Type Premium (Advanced Edition) 1.47 について
Movable Type Premium / Movable Type Premium (Advanced Edition) 1.47 では、Movable Type 7 r.5003 と同じ変更、修正が行われています。リリースノートをご確認ください。
Movable Type 6.8.3 について
今回のバージョンでは本セキュリティ問題の修正のみの対応となります。
古い Movable Type を利用していてアップデートがすぐに行えない場合の対処方法について
アップデートが行えない場合は、次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。
- mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
- CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
- PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に
RestrictedPSGIApp xmlrpc
を設定する - PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に
XMLRPCScript [ランダムで充分に長い文字列]
を設定する
それぞれの入手方法について
最新バージョンプログラムの入手方法は、お客様が購入し、シックス・アパート ユーザーサイト に登録されている Movable Type ライセンスの製品、バージョンによって異なります。登録されているライセンスをご確認ください。
ライセンスごとの入手方法は次の通りです。
- 以下のいずれかのライセンスがユーザーサイトに登録されているお客様
-
・Movable Type 7
・Movable Type 6 & 7
・Movable Type 年間メンテナンス
・Movable Type Advanced
・Movable Type Premium
・Movable Type Premium (Advanced Edition)
年間メンテナンスを更新されていて、メンテナンス期限内であれば、シックス・アパート ユーザーサイトより最新バージョンをダウンロード可能です。 メンテナンス期限が切れている場合は、各製品ページよりメンテナンスをご注文ください。
Movable Type を最新のバージョンにアップグレードする手順についてはマニュアルをご覧ください。 - Movable Type 6 を含むそれ以前のバージョンのライセンスがユーザーサイトに登録されているお客様
- Movable Type 7 ソフトウェア版(99,000円税込)の新規購入が必要となります。下記のページよりご注文をお願いいたします。
※上記のライセンスには納品から1年のメンテナンスが含まれます。次年度以降1年毎にメンテナンス(33,000円・税込)を更新いただくことで、メンテナンス(Movable Type 7 / Movable Type 6 の最新バージョンおよびサポートの提供)が継続提供される仕組みです。
Movable Type を最新のバージョンにアップグレードする手順についてはマニュアルをご覧ください。 - Movable Type ライセンス登録状況が不明な場合
- 3年以内にライセンスやメンテナンスを購入されている場合は、下記のフォームよりライセンス登録情報照会をご依頼ください。
Movable Type に対するライセンスやメンテナンスの費用のお支払いが2年以上確認いただけなかった場合、Movable Type 7 ソフトウェア版(99,000円税込)の購入をご検討ください。下記のページよりご注文をお願いします。
※上記のライセンスには納品から1年のメンテナンスが含まれます。次年度以降1年毎にメンテナンス(33,000円・税込)を更新いただくことで、メンテナンス(Movable Type 7 / Movable Type 6 の最新バージョンおよびサポートの提供)が継続提供される仕組みです。
※Movable Type ソフトウェア版 を2年以上前に購入され、一度もメンテナンスを更新されていない場合、新規ライセンスと同額のメンテナンス費用のお支払いが発生します。その場合は新規購入された方がメンテナンス期限が納品から1年後に設定され、お得になります。 - クラウド版で Movable Type をご利用の方
- すべてのお客様の環境で、アップデートが完了しています。本アップデートに基づく、お客様の作業はございません。
※ 自動アップデートを無効にしているお客様の環境についても、ご利用中の Movable Type のバージョンに応じた脆弱性対応のパッチアップデートを実施しています。 - Movable Type AMI版 をご利用の方
- ご利用中の方は、yum コマンドを利用してアップデートが利用可能です。
アップデートの詳しい手順についてはマニュアルをご覧ください。 - 個人無償版をご利用の方
- 個人無償版ダウンロードフォームより再度お申し込みいただき、改めてダウンロードしてご利用ください。
その他、Movable Type の詳細は、製品サイトをご覧ください。
Movable Type は、今後もより安全に効率よくウェブサイトを構築・運用いただけるよう改善を継続し、定期的なリリースを行なっていきます。