Java で使用されているログ出力ライブラリ Apache Log4j に、悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる脆弱性があることが発表されています。

• Apache Log4j の脆弱性対策について(CVE-2021-44228)：IPA 独立行政法人 情報処理推進機構

Movable Type では Java を使用していないため、本脆弱性についての影響は受けませんが、Movable Type Premium において、全文検索プラグイン「PremiumSearch」をお使いの場合、利用されている Elasticsearch で Log4j を利用しており、脆弱性の影響を受ける可能性があります。

Elasticsearch における本脆弱性の影響については、下記のページで最新情報のアップデートが行われていますので、ご利用のお客様はご確認のうえ、必要に応じて対応を行なってください。

• Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31

なお、Movable Type Premium に Elasticsearch は同梱されていません。「PremiumSearch」プラグインを使用されていないお客様には本脆弱性の影響はありません。

また、クラウド版の Movable Type Premium では「PremiumSearch」が利用できないため、こちらも影響を受ける可能性はありません。

以上、Movable Type Premium において「PremiumSearch」をご利用のお客様は、最新情報にご注意いただくようお願いいたします。