AWS導入支援・クラウド運用代行 スカイアーチネットワークス

Movable TypeのXMLRPC APIにおける脆弱性(CVE-2022-38078)に関する注意喚起

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

Movable Typeにて脆弱性情報が公開されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。

Movable TypeのXMLRPC APIの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220022.html

I. 概要

2022年8月24日、シックス・アパート株式会社はMovable TypeのXMLRPC APIのコマンドインジェクションの脆弱性に関する情報を公開しました。本脆弱性が悪用されると、該当する製品が動作するシステムに細工したメッセージを送信されることで、任意のPerlスクリプトや任意のOSコマンドを実行される可能性があります。

シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

II. 対象

本脆弱性の影響を受けるバージョンは次のとおりです。

  • Movable Type 7 r.5202およびそれ以前(Movable Type 7系)
  • Movable Type Advanced 7 r.5202およびそれ以前(Movable Type Advanced 7系)
  • Movable Type 6.8.6およびそれ以前(Movable Type 6系)
  • Movable Type Advanced 6.8.6およびそれ以前(Movable Type Advanced 6系)
  • Movable Type Premium 1.52およびそれ以前
  • Movable Type Premium Advanced 1.52およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

III. 対策

シックス・アパート株式会社より、下記の本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの運用をご検討ください。

  • Movable Type 7 r.5301(Movable Type 7)
  • Movable Type Advanced 7 r.5301(Movable Type Advanced 7系)
  • Movable Type 6.8.7(Movable Type 6系)
  • Movable Type Advanced 6.8.7(Movable Type Advanced 6系)
  • Movable Type Premium 1.53
  • Movable Type Premium Advanced 1.53

詳細は、シックス・アパート株式会社からの更新情報を参照してください。

シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

IV. 回避策

シックス・アパート株式会社から本脆弱性に対する回避策が公開されています。次の回避策を適用することで、本脆弱性の影響を回避することが可能です。

  • Movable TypeのXMLRPC API機能を無効化する

V. 参考情報

シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/

 

対応策として最新バージョンへのバージョンアップが必要となります。Movable Typeをご利用のお客様につきましては、バージョン確認の上、バージョンアップをお客様にて実施をご検討ください。

なお、Movable Typeにつきましてはコンテンツ範囲になるため弊社側で管理しておりませんので、アップデートや、バージョンの確認等の対応は出来かねます。大変恐れ入りますがご了承ください。

お客様にて作業を行われる場合、弊社にて監視している環境でのアラートを検知する可能性があります為、事前に作業を行う旨をsupport@skyarch.netへご連絡下さいます様、お願い申し上げます。

備考

最終更新日 2022.08.24

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers