Movable Type News
2005年05月12日
【重要】 第三者による不正アクセスを許す危険性の対策について
Movable Type(ムーバブル・タイプ)の脆弱性により、第三者による不正なアクセスが可能であることが確認されました。Movable Typeのセッション管理で使われるCookieの値に、ハッシュ化されたユーザーアカウント情報が含まれており、以下の条件を全て満たした場合に、第三者による不正なアクセスが可能になります。
- 第三者による不正なアクセスが発生する条件:
-
- 第三者が、Cookieの値を取得する。
- 第三者が、Movable Type管理画面CGIスクリプトのパスを取得する。
また、このCookieの値が、Atom APIによるログイン時のパスワードとしても利用されているため、Cookieが第三者に漏洩した場合にAtom API対応のBlogクライアントソフトなどで、自由に記事の投稿や削除などの操作が可能になります。
本問題のリスクを軽減する対策をご用意いたしました。ユーザーの皆様には、早急にご対応いただけますようお願い申し上げます。
なお、今後の対応と致しましては、現在出荷中のMovable Type日本語版で今回の対策を含めたバージョン3.16を出荷いたします。提供時期に関しましては、6月上旬を予定しております。
ご多忙の折、皆様にはお手数をおかけしてしましい、大変申し訳ございませんでした。
シックス・アパートスタッフ一同、深くお詫び申し上げます。正しい情報を皆様にいち早くお伝えし、製品の品質向上のため努力してまいりたいと思います。何卒、皆様ご協力のほど、お願い申し上げます。
対象となるMovable Typeの製品及びバージョン
- Movable Type日本語版の全てのバージョン
-
- 3.01D-ja
- 3.11-ja
- 3.121-ja
- 3.122-ja
- 3.14-ja
- 3.15-ja
- 3.151-ja
なお、英語版にも同様の問題が発生します。
この問題に対する対策
本件は、Movable Type の運用環境を整備することで、第三者による不正アクセスの危険性をかなり軽減することができます。
運用環境の整備の方法は、以下のURLをご参照願います。
- 投稿者 yagishita
- 15:00
トラックバック
- トラックバック URL
- »MovableTypeに新たな脆弱性を確認 from 2929BLOG
-
MovableTypeに第三者による不正アクセスが可能な脆弱性があることが確認さ...
- »MovableTypeの脆弱性 from 44wide.com
-
第三者による不正アクセスを許す危険性があるらしい・・・。...
- »MTの第三者による不正アクセスを許す危険性 from ブログ業界ニュース
-
【重要】 第三者による不正アクセスを許す危険性の対策について@Movable Type Publishing Plathome MTをお使いの方は至急ご確認くだ...
- »[N?] MovableTypeに脆弱性 from [N?]Nonsense?
-
私も使用しているMTに脆弱性が発見されています。 【重要】 第三者による不正アク...
- »Movable Typeで第三者の不正アクセスを許可してしまう脆弱性 from ヨネテル テックメモ
-
この blog でも使用している Movable Type に脆弱性が見つかった...
- »Movable Typeに脆弱性が判明 from klaxon.org
-
【重要】 第三者による不正アクセスを許す危険性の対策についてMovable Ty...
- »MTに脆弱性 from ねこまんだら
-
会社PCのHDDがお亡くなりになって、もうパソコンはうんざりうという中、それでもBlogのチェックだけは欠かさない私。 管理画面の右上をみたら、シックスアパート...
- »Movable Typeで第三者の不正アクセスを許可してしまう脆弱性 from 株主優待フラッシュ
-
Movable Typeで第三者の不正アクセスを許可してしまう脆弱性がシックス・...
- »Movable typeに新たな脆弱性 from Studio md
-
Movable typeに新たな脆弱性が確認されたそうです。これは、第三者がCookieの値を取得し、なおかつmt.cgiのパスが分かれば、第三者による不正なア...
- »そこら中で不正アクセス from あるまむーん王国
-
「チミのハートにアクセス」とかいってるバカはどこのどいつか。 というわけで、見切り発車Windows XPに限らず、 ついにMovable Typeにも見つ...
- »Movable Type - 第三者による不正アクセス from From Marico
-
【重要】 第三者による不正アクセスを許す危険性の対策について ウチみたいな零細ブ...
- »MovableTypeに深刻な脆弱性 from 【 H&Y ROOM | Hiro's blog 】
-
何やらバージョン3.16の発表を控えたMovable Typeに第3者から不正に...
- »MovableType全バージョンに第三者不正の脆弱性 from 話題のナレッジベース
-
シックス・アパートは12日、ブログツール「Movable Type」において、第三者からの不正アクセスを許可してしまう脆弱性が発見されたと発表しましたが、今回...
- »MovableType全バージョンに第三者不正の脆弱性 from 話題のナレッジベース
-
シックス・アパートは12日、ブログツール「Movable Type」において、第三者からの不正アクセスを許可してしまう脆弱性が発見されたと発表しましたが、今回...
- »Movable Typeに脆弱性が… from 乗りログ
-
Movable Typeに脆弱性が見つかったようです。 (第三者による不正アクセ...
- »Movable Type の CSRF による脆弱性が公表 from drry+@->Weblog
-
Movable Type 3.16 リリースからしばらく経ち、例の CSRF が公表されました。
- »Movable Typeの脆弱性 発覚! from 新妻blog(もう新妻じゃないけど)
-
とうとう出ちゃいましたよ:14: 【重要】 第三者による不正アクセスを許す危険性...
- »セキュリティ情報(Movable Type) from Kyan's BLOG II
-
Movable Type Publishing Platform: 【重要】 第三者による不正アクセスを許す危険性の対策について ユーザ各位は対応をどうぞ。 当...
- »Movable Typeの脆弱性 from Hori's Weblog
-
Movable Typeに脆弱性が発見されました。 Movable Type Publishing ...
- »Movable Typeの脆弱性 from Hori's Weblog
-
Movable Typeに脆弱性が発見されました。 リスクを軽減する方法が公開されていますので、対処...
- »MovableTypeに脆弱性が発見されました from spanstyle::monolog
-
Movable Type Publishing Platform: 【重要】 第...
- »Movable Type日本語版の全てのバージョン 第三者による不正アクセスを許す危険性 from 翼のある人のblog
-
【重要】 第三者による不正アクセスを許す危険性の対策について というのがでてます...
- »宿題多すぎ(⊃Д`)゜。・ from ★Pocky page★
-
mt.cfgなど、色々ヤヴァイものを保護しておくのを忘れてました。 さきほど.h...
- »MTの不正アクセスされる脆弱性 from IGALOGる
-
Movable Typeの脆弱性が発表されていた。Movable Type Pu...
- »Movable Typeの脆弱性 from 気まぐれ日記
-
Movable Type日本語版の全てのバージョンに第三者からの不正アクセス が...
- »Movable Typeの脆弱性 from Magic White
-
Movable Typeの脆弱性により、第三者による不正なアクセスが可能であるこ...
- »MTの脆弱性が報告されていました。 from 日々刻々
-
【重要】 第三者による不正アクセスを許す危険性の対策について ...
- »Movable Type の第三者による不正アクセスを許す危険性の対策について from 小粋空間
-
Movable Type のサイトで下記の内容が周知されています。 Movabl...
- »Movable Type 第三者による不正アクセスを許す危険性 from Nakamura's Weblog
-
最近、この手の対応でしゅっちゅうバージョンアップする必要があります。自動アップデ...
- »MOVABLE TYPEに脆弱性 from D-Heart
-
Cookieの値を取られて、管理画面CGIのパスがバレルと乗っ取られるそうな。 ...
- »Movable Type、不正アクセスを許す危険性の対策 from blog nothing unusual
-
Six Apart JapanよりMovable Typeの第三者による不正アクセスを許す危険性の対策についての案内がありました。 Movable Type P...
- »Movable Typeの不正アクセスを許す危険性の対策 from blog nothing unusual
-
Six Apart JapanよりMovable Typeの第三者による不正アクセスを許す危険性の対策についての案内がありました。 Movable Type P...
- »Movable Typeの危険性 from N-blog
-
【重要】 第三者による不正アクセスを許す危険性の対策について (From:Six Apart) このblogで使用している『Movable Type』に「第三者...
- »Movable Type 第三者による不正アクセスを許す危険性の対策について from Picnic* Design Network
-
Movable Type Publishing Platform: 【重要】 第三者による不正アクセスを許す危険性の対策について: …という内容の情報が...
- »Movable Type脆弱性 from がさり
-
うーん…。 あそう。いや、勝手に投稿されたりデータ消されたりする可能性があるらし...
- »Movable Typeに新たな危険性 from (。・_・。)ノでちゅlog
-
第三者による不正アクセスを許す危険性 Movable Type(ムーバブル・タイ...
- »Movable Type不正アクセスを許す危険性 from Ama9.com
-
【重要】 第三者による不正アクセスを許す危険性の対策についてMovable Ty...
- »Movable Type、第三者による不正アクセスを許す危険性 from COZY-LiFE
- »mt.cfgをかくさないと! from 2xUP
-
脆弱性対策。具体的な対策の前にみなさん自分自身のmt.cfgがのぞかれている危険性への対策を!
- »Movable Typeの穴塞ぎ from E=Mac^2 Blog
-
第三者による不正アクセスを許す危険性の対...
- »Movable Type、第三者による不正アクセスを許す危険性 from weblog @ masahiko.org
-
【重要】 第三者による不正アクセスを許す危険性の対策についてMovable Ty...
- »【緊急】【その他の対策】 第三者による不正アクセスを許す危険性の対策について from *mt3::MRU
-
だいたいのMovableTypeユーザの方ならご存知かと思いますが、致命的なセキュリティホールがあることが確認されました。 パッチが早々に公開されるとは思い...
- »Movable Typeに不正アクセスを許す脆弱性、設定変更で回避を from E-Ze Movable Type
-
ITmedia エンタープライズ:Movable Typeに不正アクセスを許す脆...
- »5月12日に発表されたMovable Typeの脆弱性 from eggs
-
Movable Type Publishing Platform: 【重要】 第...
- »Movable Typeの脆弱性 from moose | Blog
-
第三者による不正なアクセスが発生する条件 1. 第三者が、Cookieの値を取得...
- »5月12日に発表されたMovable Typeの脆弱性 from eggs
-
Movable Type Publishing Platform: 【重要】 第...
- »Movable Typeで第三者の不正アクセスを許可してしまう脆弱性 from V-CLUB春日井のブログ ヴイクラblog
-
【重要】 第三者による不正アクセスを許す危険性の対策について http://www.movablet...
- »Movable Typeで第三者の不正アクセスを許可してしまう脆弱性 from やじlog本舗
-
シックス・アパートからこんなのが出てました。 【重要】 第三者による不正アク...
- »全バージョンの Movable Type に脆弱性が... 対応パッチは見送り from Clip & Scrap
-
SixApart 社、ちゃんと対応してください。
- »Movable Typeで第三者の不正アクセスを許可してしまう脆弱性 from [N]
-
Movable Typeで第三者の不正アクセスを許可してしまう脆弱性が発見されたそうです。 今回発見された脆弱性は、第三者がCookieの値を取得し、Movab...
- »MovableTypeにセキュリティーホール from 神戸の技術士 鈴木 裕 のブログ
-
MovableType3.16で対策予定の内容らしい. 詳しくは,http://...
- »Movable Type の脆弱性の件 from NDO::Weblog
-
Movable Type Publishing Platform: 【重要】 第三者による不正アクセスを許す危険性の対策についてMovable Type(ムーバ...
- »MTで第三者による不正アクセスを許す危険性 from bambino.
-
Movable typeに新たな脆弱性が確認されたそうです。 これは、第三者がC...
- »mt.cfgをかくさないと!おかわり! from 2xUP
-
マニュアルに書いてあるような対策をよびかけてみたものの、どうやらそれでは適切な設定では無い模様。つまるとこと<Limit GET>となっているわけで...
- »Movable Typeの脆弱性 from よしのり.net♪
-
私が使っているウェブログのMovable Typeで 第三者による不正なアクセス...
- »MTで使用するアカウント情報が漏れる件について。 from Sky and Heart...
-
つまるところ、漏らさない、管理画面にアクセスさせない、上手に隠しましょう、ということで。
- »MovableTypeの脆弱性 from the meager
-
【重要】 第三者による不正アクセスを許す危険性の対策について(SixApart) 第三者による不正なアクセスが発生する条件: 1. 第三者が、Cookieの値...
- »MovableTypeに深刻な脆弱性 from Infinite Lab.
-
第三者による不正アクセスを許す危険性の対策について (movabletype.j...
- »第三者による不正アクセスを許す危険性の対策について from Mina's Free style
-
MOVABLE TYPE NEWSです。(5/12更新) Movable Typ...
- »「MovableType」に第三者から不正アクセスされる脆弱性 from 管理人ブログ on マターリ
-
シックス・アパートは、同社が提供しているブログツール「MovableType」に...
- »第三者による不正アクセスを許す危険性の対策について from From my room
-
"Movable Type"の脆弱性により、第三者による不正なアクセスが可能であることが確認されまし...
- »Firefox1.0.4日本語版提供開始 from Tadaoh Blog
-
Firefox1.0.4日本語版がようやくリリースされました。 とはいっても英...
- »[IZ]:MTの脆弱性への対策が公開されたが from Internet Zone::Movable TypeでBlog生活
-
どうやっていいのか、分かりません。(^^;) Movable Type Publishing Platform: 【重要】 第三者による不正アクセスを許す危険性...
- »MovableTypeの、不正アクセスに対する対策について from ■ペットポータル■
-
Movable Type Publishing Platform: 【重要】 第三者による不正アクセスを許す危険性の対策について このような記事を見つけました。...
- »MovableTypeとFirefoxの脆弱 from adore
-
Firefox 1.0.4 is a security update 非 DOM...
- »MTの脆弱性 from ゑBLOG
-
MTに脆弱性が見つかったそうです。3.16では対策済みって話なんですが、第三者による不正なアクセスが発生する条件を満たすとどうしたってアクセスされてしまうような...
- »PuTTY 0.58 ごった煮版 正式公開 from ゑBLOG
-
hdkさんの方も0.58対応されたそうですので、ごった煮版にマージさせて正式公開しました。 あと以前IPv6パッチのパッチを公開されていた加藤さんが私よりも先に...
- »MT3.X日本語版全てに不正アクセスの脆弱性! from fromshun.
-
MT日本語版でCookie取得による不正アクセスの脆弱性の問題が。対策方法がわかりずらく手間もかかるので、初歩的ですがCookieが取得されないようにしていく事...
- »mt.cfgをかくさないと!もっかい!またはいろいろ具体的対策をやってみる from 2xUP
-
次なる対策としてmt.cgiのリネームやらAdminCGIPathとCGIPathのわけわけとかもやってみた。何度も言うようだけれどこれはMovable Typ...
- »MovableType on Tiger 補足:mt.cgi隠蔽に関する対策例 from LaBlogdeMaVie
-
本家から重大な脆弱性の報告がありました。SSLを用いない(とても軽微な)AdminCGIPathの対策方法は、どうも情報不足か自分のサーバ側の不備なのか、エラー...
- »それは脆弱性じゃないと思います、せんせー。 from spanstyle::monolog
-
5月12日にシックス・アパート株式会社から公開されたMovable Typeの脆...
- »MovableTypeに脆弱性が発見されました from spanstyle::monolog
-
Movable Type Publishing Platform: 【重要】 第...
- »Movable Type Cookie Authentication Flaw Lets Remote Users Gain Access from Donna's SecurityFlash
-
TITLE: Movable Type Cookie Authentication Flaw Lets Remote Users Gain Access URL: http://msmvps.com/donna/archive/2005/05/14/46990.aspx IP: 66.226.14.50 BLOG NAME: Donna's SecurityFlash DATE: 05/15/2005 12:27:24 AM TITLE: Movable Type Cookie Authentication Flaw Lets Remote Users Gain Access URL: http://msmvps.com/donna/archive/2005/05/14/46990.aspx IP: 66.226.14.50 BLOG NAME: Donna's SecurityFlash DATE: 05/15/2005 12:27:24 AM
- »脆弱性とセキュリティホール from Marklet BLOG
-
Movable Typeの「【重要】 第三者による不正アクセスを許す危険性の
- »MTで第三者による不正アクセスを許す危険性 from ciao.
-
Movable typeに新たな脆弱性が確認されたそうです。 これは、第三者がC...
- »不正アクセス対策 from shiba's Weblog
-
シックス・アパートよりMovable Typeのセキュリティに関して、Movab...
- »Movable Typeに不正アクセスを許す危険性有り from オニオンシステム
-
【重要】 第三者による不正アクセスを許す危険性の対策についてより ...
- »http://1496.noob.jp/mt/archives/2005/05/_movable_t.html from condition
-
Movable Type(ムーバブル・タイプ)の脆弱性により、第三者による不正...
- »人知れずversionUP from ふ に ふ に し た ぺ ー じ
-
movable type最新版3.151にUPしました。 無事UPDATEできてよかった。 見かけは変わらないんですけどね。 一応、TESTも兼ねての投稿ずら。...
- »Movable Type3.x系の新たな脆弱性 from TS-Works Blog
-
Movable Type3.x系に新たな脆弱性が確認されました。 対策済み日本語...
- »Movable Type3.x系の新たな脆弱性 from TS-Works Blog
-
Movable Type3.x系に新たな脆弱性が確認されました。 対策済み日本語...
- »Movable Typeに不正アクセスを許す脆弱性 from Ikaga?::MT
-
ITmedia エンタープライズ:Movable Typeに不正アクセスを許す脆弱性、設定変更で回避をBlog作成ツール「Movable Type」に、第三者に...
- »Movable Typeに不正アクセスを許す脆弱性 from Ikaga?::MT
-
ITmedia エンタープライズ:Movable Typeに不正アクセスを許す脆弱性、設定変更で回避をBlog作成ツール「Movable Type」に、第三者に...
- »第三者による不正アクセスぅ? from blog@Revolution
-
公式HPより。 Movable Type(ムーバブル・タイプ)の脆弱性により、第...
- »Movable Type の脆弱性のニュース再び from ブログ・スタディルーム
-
●シックスアパート社サイトで、再び Movable Type の脆弱性に関する警...
- »Movable Type 3.16に不正アクセスの危険性 from FOX通信
-
価格.comだけかと思ったら、MTまで脆弱性だって。 Movable Type Publishing Platform: 【重要】 第三者による不正アクセスを許...
- »Movable Typeに不正アクセスの危険性 from FOX通信
-
価格.comだけかと思ったら、MTまで不正アクセスだって。 Movable Type Publishing Platform: 【重要】 第三者による不正アクセ...
- »MovableTypeの脆弱性 from 俺様の腐れブログ
-
なんやら私が利用させて頂いておるMovableTypeにセキュリティ上の問題点が...
- »Vulnerability from 実録!ゆうこりん通信
-
firefoxに、危険度の高いの脆弱性が ハケーンされたってんで、早速verうP...
- »脆弱性と不正アクセス from KAPPEデザイナーのホクホクブログ
-
大勢の来客でにぎわう価格.comが不正アクセスされたことによりサイトを一時閉鎖しているみたいですね。かなり使えるサイトだっただけに今回の事件はとても残念です〜[...
- »Movable Typeの脆弱性 from ACQUA*WEB BLOG
-
【重要】 第三者による不正アクセスを許す危険性の対策について Movable ...
- »AdminCGIPath による mt.cgi の利用方法。 from swimmer's blog ver. 2.0
-
なんだかこの記事を見てると気になってしょうがなかったのでとりあえず措置を取ってみ...
- »AdminCGIPath による mt.cgi の利用方法。 from swimmer's blog ver. 2.0
-
なんだかこの記事を見てると気になってしょうがなかったのでとりあえず措置を取ってみ...
- »ブロガー必見! Movable Type の脆弱性対処法について from Under The Red Sky
-
ちょっと今回はカタイけど重要なお話です。 最近ネット事情に疎くなっていてちょっと...
- »Movable Type 脆弱性 〜第三者がブログを改竄 from 微かなともしびの光から
-
久しぶりにブログでも書こうか……と思っていたら、いきなりこのニュース。 「Mov...
- »Movable Type 脆弱性 〜第三者がブログを改竄 from 微かなともしびの光から
-
久しぶりにブログでも書こうか……と思っていたら、いきなりこのニュース。 「Mov...
- »ブログ三昧 from さがITのほほん日記
-
今月だけでいくつブログを設置しただろう・・・ だんだんブログ屋さんになってきました(笑 しかしブログが実用的に使われるのは喜ばしいことだ。どんどんブログを活...
- »MT日本語版 全バージョンで新たな脆弱性が発覚 from 精密板金加工屋のつぼ探し
-
Movable Type(ムーバブル・タイプ)日本語版 全バージョンで新たな脆弱性が発覚 - 【重要】 第三者による不正アクセスを許す危険性の対策について
- »第三者による不正アクセスを許す危険性の対策について from I'm babylovers!
-
今日、エントリーしようと思ってMovable Typeを立ち上げてみたら↑こん...
- »Movable Type(ムーバブル・タイプ)に新たな脆弱性 from サラリーマンの気ままな副収入ブログ
-
久々の更新になったしまったが、当サイトでも使っているMovable Typeに不正アクセスを許す危険...
- »MovableTypeにも脆弱性 from 玄箱の呟き(クロバコのツブヤキ)
-
ちょっと情報が遅くなりましたが、MovableTypeにも セキュリティ脆弱性が出ています。 簡単に取得できるcookie情報と、 容易に推測できる管理ページ(...
- »【重要】 第三者による不正アクセスを許す危険性の対策について from J@blog
-
【重要】 第三者による不正アクセスを許す危険性の対策について Movable T...
- »ふ~ん、で、盗聴ってなによ from こぁびぃるぅだぁ うぇぶろぐ
-
Movable Typeにこんな脆弱性があったとさ。 http://www.mo...
- »MovableTypeの脆弱性への対処 from [AT]A-tak on PC Weblog
-
MovableTypeに脆弱性が見つかったので対処しました。...
- »まだPCが復旧しません[MTの脆弱性] from u n i o n - FF CHRONO
-
マザーボードを送りつけたのはよいのだけれど、今週中に帰ってこなかったので、おそら...
- »MovableTypeの脆弱性に関して・・・ from おうまさんのぺーじ
-
いやぁ~ 参りましたぁ~~
- »Movable Type の脆弱性 from *vitalage*blog
-
今月半ばあたりから結構あちこちで騒ぎになっておりましたが、静観していました。Cookieを渡すシステムなんてMTだけじゃないはずだしなーと。ちょっと大仰な気がし...
- »コメントスパム from 海外 from MxM-WorkShop|発見と行動の法則
-
海外からのお客様はご遠慮願ください。m_m Please give the reserve prayer to the comment from foreign...
- »Movable Type 3.17 日本語版 from tenten-kicks Blog
-
Movable Type 3.17 に、取りあえず頑張ってバージョンアップしてみますか!
- »movabletype 3.17-ja from μ memo
-
http://www.movabletype.jp/archives/2005/06/movable_type_31_8.html にアップデートはしたけど…。...
- »Movable Type 3.17の提供開始! from accoun.Diary!
-
Movable Type 3.17日本語版が、予定どおり6月9日に提供開始されま...
Movable Type News Letter 登録
Movable Type ユーザーのためのメールマガジンです。リリース情報、キャンペーン情報、MTを使うためのノウハウなどをお届けします。
MTQ | Movable Type 5 ユーザーコミュニティ
MT5 について情報交換するためのコミュニティサイトです。
Movable Type ドキュメント
インストール・操作のマニュアル、テンプレートタグリファレンスなど。
Movable Type 携帯Pack
Movable Typeで構築したブログやウェブサイトを携帯電話で閲覧できるようにするためのプラグイン製品。
関連書籍
Movable Type のカスタマイズや、サイト構築のサンプルなどが掲載されたオススメ書籍を紹介。
Movable Type ニュース
Movable Type の最新情報はこちら。
セミナー
Movable Type に関するイベント・セミナー開催の情報。
プラグインディレクトリ
Movable Type の機能を拡張するプラグインを紹介。
Movable Type Advanced
Oracle、MS SQLに対応・LDAPと連携したユーザー管理が可能なMovable Type の上位版。
Movable Type リモートサービス
インストール環境の設定からMovable Typeのアップグレード・構築後のサイト稼動監視までをオンラインで幅広くサポートいたします。
