「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について

2021年12月15日

平素は弊社のサービスをご利用頂きまして誠にありがとうございます。

弊社レンタルサーバー環境に「MovableType」をインストールされている方には、
既にメールにてご案内しておりますが、

弊社ご利用サービスにおいて利用可能なCMSである「MovableType」にて深刻度の非常に
高い脆弱性を確認しました。

Movable Type提供元のシックス・アパート(※)
ならびにIPAなどからも、本件に関する対策についての案内が発信されており、

対象のMovableTypeをご利用頂いている場合は、MovableTypeのアップデートを行っていただくよう
お願い申し上げます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
MovableTypeニュースより
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリ
ティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

※ MovableTypeの操作・アップデート方法などに関しては弊社サポート範囲外となりますので、
シックス・アパート社が公開しているドキュメントをご参照ください
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

なお、弊社側では「MovableType」の脆弱性を利用した改ざんの被害を抑止するため、
脆弱性の確認された対象ファイルに対策を実施させて頂きました。

具体的には以下の該当ファイル関して外部からのアクセスを防ぐため、
Basic認証をかけさせて頂きます。

・mt-xmlrpc.cgi

※ 上記以外のファイルにも脆弱性報告があった場合は、同様の処置を該当ファイルにも実施致します

上記ファイルへのBasic認証解除をご希望のお客様は、
大変お手数ですが脆弱性が修正されたバージョンへのアップデートを完了頂いた上で、
弊社にご連絡頂けますでしょうか。

ご不明な点がございましたら、各サービス問い合わせ窓口までお問合せください。


運営会社 株式会社ラクスライトクラウド
https://blastmail.jp/company/

ニュース一覧へ

ドメイン検索 無料お見積もり 突然送受信ができなくなった方へメール仕様変更のご案内 お問い合わせ-premierについて分からない事等ありましたら、お気軽にこちらからお問い合わせ下さい。 Symantec ログイン

会社概要
特定商取引法に基づく表記

株式会社ラクスライトクラウドは個人情報を適切に管理しています

個人情報保護方針
個人情報の取扱いについて