Movable Type で 2021/10/20 にリリースしたセキュリティアップデートにおける XMLRPC API への OS コマンドインジェクションの脆弱性への修正が不十分であることがわかりました。脆弱性への対策として Movable Type 7 r.5005、Movable Type 6.8.5、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.49 をリリースします。
本脆弱性(CVE-2021-20837)は深刻な脆弱性であり、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなど、現在も引き続き攻撃が観測されています。必ずアップデートやワークアラウンドの対策を行なっていただくようお願いします
なお、r.5003 / 6.8.3(2021/10/20 リリース)、r.5004 / 6.8.4(2021/12/1 リリース)も対象となり、2021/10/20 のニュースでお知らせしているワークアラウンドは引き続き有効です。
ニュース目次
セキュリティ問題の修正について
r.5004 / 6.8.3 で修正した XMLRPC API を経由した OS コマンドインジェクションの脆弱性について、追加修正しました。詳細はそれぞれのリリースノートをご確認ください。
対象となるバージョン
脆弱性の対象は次のバージョンです。r.5004、6.8.4 以前のすべてのバージョンが対象です。
- Movable Type (Advanced) 7 r.4207 - r.5004
- Movable Type (Advanced) 6.0.0 - 6.8.4
- Movable Type Premium (Advanced Edition) 1.0 - 1.48
この脆弱性は Movable Type 4.0 以降のすべてのバージョンに存在します。
Movable Type 7 r.5005について
今回のバージョンでは本セキュリティ問題の修正のみの対応となります。
Movable Type Premium / Movable Type Premium (Advanced Edition) 1.49 について
今回のバージョンでは本セキュリティ問題の修正のみの対応となります。
Movable Type 6.8.5 について
今回のバージョンでは本セキュリティ問題の修正のみの対応となります。
古い Movable Type を利用していてアップデートがすぐに行えない場合の対処方法(ワークアラウンド)について
2021/10/20 のニュースでお知らせしたワークアラウンドは本脆弱性でも引き続き有効です。以下に再度掲載します。
アップデートが行えない場合は、次の方法で脆弱性の影響を回避、軽減することができるので対応を行なってください。
- mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
- CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
- PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に
RestrictedPSGIApp xmlrpcを設定する - PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に
XMLRPCScript [ランダムで充分に長い文字列]を設定する
脆弱性を利用した攻撃を受けてしまった場合
脆弱性を利用した攻撃を受けてしまった場合には、次のような対処を行なってください。
- 不正な利用や情報漏洩などがないかサーバのログを確認し、攻撃や被害を確認する
- サーバ上に不明なファイル、データや変更されたファイル、データがないか確認し、攻撃や被害を確認する
- 攻撃前のバックアップデータからサーバを復元し、最新版のソフトウェアへのアップデートを行う、もしくは対策を行う
上記について、制作会社、もしくはセキュリティの専門家などにもご相談ください。また、被害について警察への相談もご検討ください。
それぞれの入手方法について
最新バージョンプログラムの入手方法は、お客様が購入し、シックス・アパート ユーザーサイト に登録されている Movable Type ライセンスの製品、バージョンによって異なります。登録されているライセンスをご確認ください。
ライセンスごとの入手方法は次の通りです。
- 以下のいずれかのライセンスがユーザーサイトに登録されているお客様
-
・Movable Type 7
・Movable Type 6 & 7
・Movable Type 年間メンテナンス
・Movable Type Advanced
・Movable Type Premium
・Movable Type Premium (Advanced Edition)
年間メンテナンスを更新されていて、メンテナンス期限内であれば、シックス・アパート ユーザーサイトより最新バージョンをダウンロード可能です。 メンテナンス期限が切れている場合は、各製品ページよりメンテナンスをご注文ください。
Movable Type を最新のバージョンにアップグレードする手順についてはマニュアルをご覧ください。 - Movable Type 6 を含むそれ以前のバージョンのライセンスがユーザーサイトに登録されているお客様
- Movable Type 7 ソフトウェア版(99,000円税込)の新規購入が必要となります。下記のページよりご注文をお願いいたします。
※上記のライセンスには納品から1年のメンテナンスが含まれます。次年度以降1年毎にメンテナンス(33,000円・税込)を更新いただくことで、メンテナンス(Movable Type 7 / Movable Type 6 の最新バージョンおよびサポートの提供)が継続提供される仕組みです。
Movable Type を最新のバージョンにアップグレードする手順についてはマニュアルをご覧ください。 - Movable Type ライセンス登録状況が不明な場合
- 3年以内にライセンスやメンテナンスを購入されている場合は、下記のフォームよりライセンス登録情報照会をご依頼ください。
Movable Type に対するライセンスやメンテナンスの費用のお支払いが2年以上確認いただけなかった場合、Movable Type 7 ソフトウェア版(99,000円税込)の購入をご検討ください。下記のページよりご注文をお願いします。
※上記のライセンスには納品から1年のメンテナンスが含まれます。次年度以降1年毎にメンテナンス(33,000円・税込)を更新いただくことで、メンテナンス(Movable Type 7 / Movable Type 6 の最新バージョンおよびサポートの提供)が継続提供される仕組みです。
※Movable Type ソフトウェア版 を2年以上前に購入され、一度もメンテナンスを更新されていない場合、新規ライセンスと同額のメンテナンス費用のお支払いが発生します。その場合は新規購入された方がメンテナンス期限が納品から1年後に設定され、お得になります。 - クラウド版で Movable Type をご利用の方
- すべてのお客様の環境で、アップデートが完了しています。本アップデートに基づく、お客様の作業はございません。
※ 自動アップデートを無効にしているお客様の環境についても、ご利用中の Movable Type のバージョンに応じた脆弱性対応のパッチアップデートを実施しています。 - Movable Type AMI版 をご利用の方
- ご利用中の方は、yum コマンドを利用してアップデートが利用可能です。
アップデートの詳しい手順についてはマニュアルをご覧ください。 - 個人無償版をご利用の方
- 個人無償版ダウンロードフォームより再度お申し込みいただき、改めてダウンロードしてご利用ください。
その他、Movable Type の詳細は、製品サイトをご覧ください。