こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年8月にMovable Typeについて脆弱性(CVE-2022-38078)が発表されました。JVNではCVSSv3のスコアが9.8(緊急)と発表されています。
https://jvn.jp/jp/JVN57728859/
脆弱性を悪用されるとリモートから任意のコードが実行される可能性があるため、注意が必要です。
脆弱性の概要と対象となるバージョン
脆弱性の概要と対象バージョンは下記の通りです。
・概要
XML API を経由してリモートから任意のPerlプログラムを実行される危険があります。
・対象バージョン
Movable Type (Advanced) 7 r.4207 - r. 5202
Movable Type (Advanced) 6.0.0 - 6.8.6
Movable Type Premium (Advanced Edition) 1.0 - 1.52
脆弱性の対策
いずれの脆弱性も公式でセキュリティフィックスのバージョンが提供されているため、それぞれのソフト、バージョンに応じてバージョンアップを行う必要があります。
https://www.movabletype.jp/release-notes/70/r5301.html
https://www.movabletype.jp/release-notes/mtp/1.53.html
https://www.movabletype.jp/release-notes/687.html
すぐにMovable Typeのバージョンアップが難しい場合はmt-xmlrpc.cgi への外部からのアクセス制限を行う、などの一時的な対策も発表されているため、サイト状況によってはこちらの対策をお勧めいたします。
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
Webサイトへの影響について
本脆弱性はXML RPCというAPI機能が対象となるため、Movable Type のXML RPCを無効化していたり、外部からmt-xmlrpc.cgi に接続できないように制限がかかっているサイトであれば特に影響はありません。逆に外部からもAPIに接続できるようにしている場合は、最悪の場合、サーバー上で不正なPerlプログラムの実行によりサーバーを乗っ取られてしまう危険性もあるため、早急な確認が必要です。
さいごに
Webサイトを安全に運用するためには、サーバーOSやミドルウェアだけでなく、CMSやプラグインについても、日々セキュリティに注意を払う必要があります。
クロジカサーバー管理では日々CMSやプラグインのセキュリティ情報をチェックしており、お客様のサーバーで利用しているプラグインについては検証、本番それぞれの環境でアップデートを代行可能です。
サイトリリース後に各種ソフトウェアのセキュリティ情報のチェックが追いつかない場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
