Movable Type の XMLRPC API に OS コマンドインジェクションの脆弱性、攻撃時の影響大
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月21日、Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.46 およびそれ以前
Movable Type Premium Advanced 1.46 およびそれ以前
シックス・アパート株式会社が提供する Movable Type の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、Movable Type の XMLRPC API に細工したメッセージを POST メソッドで送信することで、任意の OS コマンドが実行される可能性がある。
シックス・アパートでは本脆弱性を修正した下記のバージョンをリリースしており、アップデートするよう呼びかけている。IPAでも攻撃が行われた場合の影響が大きい問題であるため、早急にアップデートを実行するよう呼びかけている。
Movable Type 7 r.5003 (Movable Type 7系)
Movable Type 6.8.3 (Movable Type 6系)
Movable Type Advanced 7 r.5003 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.3 (Movable Type Advanced 6系)
Movable Type Premium 1.47
Movable Type Premium Advanced 1.47
またシックス・アパートでは、古い Movable Type を利用していてアップデートがすぐに行えない場合は、下記の方法で脆弱性の影響を回避、軽減できると案内している。
・mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
・CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
・PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に「RestrictedPSGIApp xmlrpc」を設定する
・PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する
《ScanNetSecurity》
![[Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21309.jpg)
