【注意喚起】Movable Typeの脆弱性について
2022.09.20 Posted by Coding_team
今回は直近でMovable Typeの脆弱性が話題になったので、注意喚起となります。
Movable Typeの提供元のシックス・アパート社から8月24日にセキュリティ問題の修正についてのアップデートがリリースされました。
参照元:[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
今回主に修正された内容は下記になります。
XMLRPC API を経由した不正なリクエストにより、組み込みコマンドやシェルコマンドの限定的な実行が可能な脆弱性(CVE-2022-38078)
XML-RPC APIという管理画面以外から記事・ウェブページにアクセスしたり、スケジュールタスクを実行できる機能に脆弱性が発見されたということです。
簡単に言うと外部からアクセスできる機能ですね。
こちらを悪用することで、サーバーに不正アクセスされてしまいます。
被害を受けた際の影響はかなり大きいです。(記事の改ざんや、バックドアをサーバに設置されるなど)
対象となるバージョンは下記のようです。
・Movable Type (Advanced) 7 r.4207 – r. 5202
・Movable Type (Advanced) 6.0.0 – 6.8.6
・Movable Type Premium (Advanced Edition) 1.0 – 1.52
この脆弱性は Movable Type 4.0 以降のすべてのバージョンに存在します。
以前のバージョンはほぼ対象となってしまうのではないでしょうか。。。
MTのアップデートってなかなか面倒で構成ファイルをまるっと入れ替えなきゃいけないんですよね、そこそこ時間がかかる作業です。
※一応アップデート方法もマニュアルにありますのでそちらも載せときます。
Movable Type 7 マニュアル:旧バージョンから Movable Type 7 へアップグレードする
こんなんすぐに出来ない・・・という方や、そもそもメンテナンス期間が切れてる・・・、という方向けにも「古い Movable Type を利用していてアップデートがすぐに行えない場合の対処方法(ワークアラウンド)について」とう項目で対処法が書かれています。
・mt-xmlrpc.cgi への外部からのアクセス制限を行う、IPアドレスでの制限や BASIC 認証などのアクセス制限を行う
・CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする
・PSGI で実行している場合、Movable Type 6.2 以降と Movable Type Premium では、設定ファイル mt-config.cgi に RestrictedPSGIApp xmlrpc を設定する
・PSGI で実行している場合、Movable Type 6.1 以前では、設定ファイル mt-config.cgi に XMLRPCScript [ランダムで充分に長い文字列] を設定する
mt-xmlrpc.cgiを削除する、またはアクセス制限を設けるなどの対応が必要です。
こちらは大きな手間でも無いと思うので早急に対応すべきですね。
そして予算や時間が取れる時にMovable Type本体のアップデートを行いましょう。
CMSを運用する上で、どうしてもセキュリティ関連の問題は切り離せませんね。
こういった脆弱性の問題はMovable Typeに限った事では無いのですぐに把握できるよう気を付けて行きましょう。
以上、クリエイターブログでした。
関連記事こちらの記事も合わせてどうぞ。