更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)
ニュース
【概要】
シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
--- 2021 年 11 月 5 日 更新 ---
2021年11月5日現在、本脆弱性を悪用した攻撃が確認されているため、出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。
--- 2021 年 11 月 9 日 更新 ---
「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。
本脆弱性の深刻度
【対象】
次の製品が対象です。
- Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
- Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
- Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系)
- Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
- Movable Type Premium 1.46 およびそれ以前
- Movable Type Premium Advanced 1.46 およびそれ以前
【対策】
アップデートする
- 開発者が提供する情報をもとに、最新版へアップデートしてください。
- Movable Type 7 r.5003 (Movable Type 7系)
- Movable Type 6.8.3 (Movable Type 6系)
- Movable Type Advanced 7 r.5003 (Movable Type Advanced 7系)
- Movable Type Advanced 6.8.3 (Movable Type Advanced 6系)
- Movable Type Premium 1.47
- Movable Type Premium Advanced 1.47
- 開発者は、本脆弱性を修正した次のバージョンをリリースしています。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
- [重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
ワークアラウンドを実施する
- 開発者によると、アップデートを適用できない場合には、Movable Type の設定ファイル mt-config.cgi に対して次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。
- 現在 XMLRPC API を利用していない、または今後 XMLRPC API を利用しない場合
- mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
- CGI/FCGI として利用している場合
- mt-xmlrpc.cgi を削除、またはパーミッションを削除する
- PSGI で利用している場合
- Movable Type (Advanced) 6.2 以降および Movable Type Premium (Advanced)
- mt-config.cgi に Movable Type 環境変数 RestrictedPSGIApp xmlrpc を設定する
- Movable Type (Advanced) 5.2 から Movable Type (Advanced) 6.1 まで
- mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する
- 継続して XMLRPC API を利用する場合
- mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
- PSGI で利用している場合
- mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する
【参考情報】
- Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210047.html - [重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html - 「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください
https://www.ipa.go.jp/security/vuln/report/index.html
--- 2021 年 11 月 5 日 更新 ---
- 【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を!
https://www.lac.co.jp/lacwatch/alert/20211102_002780.html
--- 2021 年 11 月 9 日 更新 ---
- PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)
https://www.powercms.jp/news/release-patch-xmlrpc-api-202110.html
出典:独立行政法人情報処理推進機構(IPA)