「Movable Type」の XMLRPC API における脆弱性に関する注意喚起
昨年度、塾内で多数のWeb改竄被害が出た Movable TypeのXMLRPC脆弱性ですが、再び同じXMLRPCに関する新たな脆弱性が発生しました。
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
以前多発したようなWeb改竄を防ぐため、以下の2つのいずれかの対策を取る必要があります。
- Movable Typeを最新版に更新する
- 上記URLの「アップデートが行えない場合の対処方法(ワークアラウンド)について」の対策を実施する
この2つの対策では、XMLRPC機能をそのサイトで用いていない限り、後者のワークアラウンドの適用の方がお勧めです。 前回の問題が発生した時に、アップデートではなくこのワークアラウンドの方を適用していた場合は、今回の脆弱性に関して新たな対応の必要はありません。
なお、アップデートを行うには時間がかかる可能性もありますが、上記のWebページで「アップデートが行えない場合の対処方法について」の部分で解説されている手法は非常に短時間で対応が可能です。 アップデートを即座に行えない場合は「アップデートが行えない場合の対処方法について」の対処をまず行ってから、アップデートを検討するようにしてください。 アップデートを待っている間に攻撃を受け、サイトが改竄される可能性があります。管理を外部に委託している場合は、必ずその旨をお伝えください。
現在の状況が分からない場合には、システムやコンテンツの管理を委託している業者にご確認をお願いいたします。 Webサイト開設以降、保守などの契約を結んでいない場合には、開設時の資料をご用意の上、CSIRT までご相談ください。
慶應義塾CSIRT https://www.csirt.keio.ac.jp/
よろしくお願いいたします。
最終更新日: 2022年8月25日
内容はここまでです。