【緊急】Movable Typeの脆弱性に注意!!!
公開日 : 最終更新日 :
- ディレクション
Movable Type とは
Movable Type ( ムーバブル・タイプ / MT / エムティー ) は、シックス・アパートが開発・提供する、ブログで用いられることの多いコンテンツ管理システム ( CMS ) 製品である。プラグイン機構により機能を拡張できることが特徴である。
参照 : Wikipedia
目次
脆弱性の概要
Movable TypeのXMLRPC APIには、任意のOSコマンド実行が可能な脆弱性 ( CVE-2021-20837 ) があります。本脆弱性の悪用を目的とした特別なリクエストを受け取った場合に、OSコマンドが実行され、様々な被害を受ける可能性があります。
脆弱性の影響を受ける可能性のあるバージョンは以下の通りです。
- Movable Type 7 r.5003 より以前
- Movable Type Advanced 7 r.5003 より以前
- Movable Type 6.8.3 より以前
- Movable Type Advanced 6.8.3 より以前
- Movable Type Premium 1.47 より以前
- Movable Type Premium Advanced 1.47 より以前
開発者によると、サポートを終了したバージョンを含むMovable Type 4.0以上 ( Advanced、Premiumも含む ) が影響を受けます。
簡潔に
Movable Typeに脆弱性が発見されて、悪用される危険性があります。ファイルが書き換えられた、ファイルが消えた、知らないファイルがある等があるそうです。まずはバージョン、サーバー内のファイルを確認しましょう!
脆弱性への対策
Movable Type に発見されたセキュリティ問題を解消した修正バージョンとして Movable Type 7 r.5003 の提供を開始します。
また、これに伴い、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.47 をリリースします。セキュリティに関する修正となりますので、必ずアップデートをお願いします。
シックス・アパート株式会社から本脆弱性を修正した次のバージョンが公開されています。速やかに対策の実施をご検討ください。
- Movable Type 7 r.5003 ( Movable Type 7系 )
- Movable Type 6.8.3 ( Movable Type 6系 )
- Movable Type Advanced 7 r.5003 ( Movable Type Advanced 7系 )
- Movable Type Advanced 6.8.3 (Movable Type Advanced 6系 )
- Movable Type Premium 1.47
- Movable Type Premium Advanced 1.47
簡潔に
Movable Typeから脆弱性を修正したので、アップデート等の対策をしてほしいとのことです。
もし悪用された形跡がある場合
すぐにサイトを見れないようにしてください。もしかすると閲覧にきているユーザーのPCにウィルスなどがはいる可能性もあるため、まずはサイトを見れないようにしてください。
- バックアップがあるか確認
サーバーや制作会社側でバックアップデータを持っているか確認してください。 - サーバー側にあるファイルを全て削除
サーバー側にあるファイルを一旦すべて削除してください。 - バックアップをアップロード
バックアップデータがある場合は、バックアップデータをアップロードして、サイトが閲覧できるか確認してください。 - 脆弱性を修正したバージョンにアップデート
Movable Typeから提供している脆弱性を修正したバージョンにアップデートを行ってください。( ※制作会社等にお願いするのが早いと思います。 )
不安がある場合は、リニューアルをしていただくことがいいと思います。
最後に
Movable Typeにもクラウド版も存在します。今回の問題もクラウド版であれば、対応なしで、自動アップデートになります。
また、管理システム等を導入している企業様にお願いしているのは、必ず保守をいれていただければと思います。やはりシステムは古くなり、脆弱性が見つかることもあります。保守することで、常に最新版など機械的損失を防ぐことも可能です。
もし、上記問題をかかえた企業様がいらっしゃいましたら、弊社にご相談ください!最適なご提案をさせていただきます。
