Movable Typeに重大な脆弱性。Webサイトへの影響と対策について解説します(CVE-2022-38078)

こんにちは。「SiteCloud」プリセールスの高瀬です。

2022年8月にMovable Typeについて脆弱性(CVE-2022-38078)が発表されました。JVNではCVSSv3のスコアが9.8(緊急)と発表されています。

https://jvn.jp/jp/JVN57728859/

脆弱性を悪用されるとリモートから任意のコードが実行される可能性があるため、注意が必要です。

脆弱性の概要と対象となるバージョン

脆弱性の概要と対象バージョンは下記の通りです。

・概要

XML API を経由してリモートから任意のPerlプログラムを実行される危険があります。

・対象バージョン

Movable Type (Advanced) 7 r.4207 - r. 5202

Movable Type (Advanced) 6.0.0 - 6.8.6

Movable Type Premium (Advanced Edition) 1.0 - 1.52

脆弱性の対策

いずれの脆弱性も公式でセキュリティフィックスのバージョンが提供されているため、それぞれのソフト、バージョンに応じてバージョンアップを行う必要があります。

https://www.movabletype.jp/release-notes/70/r5301.html

https://www.movabletype.jp/release-notes/mtp/1.53.html

https://www.movabletype.jp/release-notes/687.html

すぐにMovable Typeのバージョンアップが難しい場合はmt-xmlrpc.cgi への外部からのアクセス制限を行う、などの一時的な対策も発表されているため、サイト状況によってはこちらの対策をお勧めいたします。

https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

Webサイトへの影響について

本脆弱性はXML RPCというAPI機能が対象となるため、Movable Type のXML RPCを無効化していたり、外部からmt-xmlrpc.cgi に接続できないように制限がかかっているサイトであれば特に影響はありません。逆に外部からもAPIに接続できるようにしている場合は、最悪の場合、サーバー上で不正なPerlプログラムの実行によりサーバーを乗っ取られてしまう危険性もあるため、早急な確認が必要です。

さいごに

Webサイトを安全に運用するためには、サーバーOSやミドルウェアだけでなく、CMSやプラグインについても、日々セキュリティに注意を払う必要があります。

SiteCloudでは日々CMSやプラグインのセキュリティ情報をチェックしており、お客様のサーバーで利用しているプラグインについては検証、本番それぞれの環境でアップデートを代行可能です。

サイトリリース後に各種ソフトウェアのセキュリティ情報のチェックが追いつかない場合はぜひご相談くださいませ。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

    サイバーの鎧のサービス内容を記載した資料をダウンロードできます。
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close