各位
Movable TypeのXMLRPC APIの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220022.html
I. 概要2022年8月24日、シックス・アパート株式会社はMovable TypeのXMLRPC APIのコマンドインジェクションの脆弱性に関する情報を公開しました。本脆弱性が悪用されると、該当する製品が動作するシステムに細工したメッセージを送信されることで、任意のPerlスクリプトや任意のOSコマンドを実行される可能性があります。
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
II. 対象本脆弱性の影響を受けるバージョンは次のとおりです。
- Movable Type 7 r.5202およびそれ以前(Movable Type 7系)
- Movable Type Advanced 7 r.5202およびそれ以前(Movable Type Advanced 7系)
- Movable Type 6.8.6およびそれ以前(Movable Type 6系)
- Movable Type Advanced 6.8.6およびそれ以前(Movable Type Advanced 6系)
- Movable Type Premium 1.52およびそれ以前
- Movable Type Premium Advanced 1.52およびそれ以前
開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。
III. 対策シックス・アパート株式会社より、下記の本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの運用をご検討ください。
- Movable Type 7 r.5301(Movable Type 7)
- Movable Type Advanced 7 r.5301(Movable Type Advanced 7系)
- Movable Type 6.8.7(Movable Type 6系)
- Movable Type Advanced 6.8.7(Movable Type Advanced 6系)
- Movable Type Premium 1.53
- Movable Type Premium Advanced 1.53
詳細は、シックス・アパート株式会社からの更新情報を参照してください。
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
IV. 回避策シックス・アパート株式会社から本脆弱性に対する回避策が公開されています。次の回避策を適用することで、本脆弱性の影響を回避することが可能です。
- Movable TypeのXMLRPC API機能を無効化する
V. 参考情報
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2022-0022
JPCERT/CC
2022-08-24
JPCERT/CC Alert 2022-08-24
Movable TypeのXMLRPC APIの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220022.html
I. 概要2022年8月24日、シックス・アパート株式会社はMovable TypeのXMLRPC APIのコマンドインジェクションの脆弱性に関する情報を公開しました。本脆弱性が悪用されると、該当する製品が動作するシステムに細工したメッセージを送信されることで、任意のPerlスクリプトや任意のOSコマンドを実行される可能性があります。
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
II. 対象本脆弱性の影響を受けるバージョンは次のとおりです。
- Movable Type 7 r.5202およびそれ以前(Movable Type 7系)
- Movable Type Advanced 7 r.5202およびそれ以前(Movable Type Advanced 7系)
- Movable Type 6.8.6およびそれ以前(Movable Type 6系)
- Movable Type Advanced 6.8.6およびそれ以前(Movable Type Advanced 6系)
- Movable Type Premium 1.52およびそれ以前
- Movable Type Premium Advanced 1.52およびそれ以前
開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。
III. 対策シックス・アパート株式会社より、下記の本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの運用をご検討ください。
- Movable Type 7 r.5301(Movable Type 7)
- Movable Type Advanced 7 r.5301(Movable Type Advanced 7系)
- Movable Type 6.8.7(Movable Type 6系)
- Movable Type Advanced 6.8.7(Movable Type Advanced 6系)
- Movable Type Premium 1.53
- Movable Type Premium Advanced 1.53
詳細は、シックス・アパート株式会社からの更新情報を参照してください。
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
IV. 回避策シックス・アパート株式会社から本脆弱性に対する回避策が公開されています。次の回避策を適用することで、本脆弱性の影響を回避することが可能です。
- Movable TypeのXMLRPC API機能を無効化する
V. 参考情報
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp