プレスリリース

～ 10月20日にリリースしたバージョンの脆弱性への修正が不十分であったため、
再度のセキュリティアップデートをリリースしました。
MT 7 r.5003/5004、6.8.3/6.8.4 のユーザーも含めてアップデートをお願いします。 ～

2021年12月16日
シックス・アパート株式会社

シックス・アパート株式会社は、10月20日に公開した脆弱性（CVE-2021-20837）への追加修正を行ったバージョンとして Movable Type 7 r.5005、Movable Type 6.8.5、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.49 をリリースします。2021年10月20日に Movable Type に存在する XMLRPC API への OS コマンドインジェクションの脆弱性への対策として公開したバージョン r.5003 / 6.8.3（2021/10/20 リリース）および r.5004 / 6.8.4（2021/12/1 リリース）における修正が不十分である箇所が判明したため、追加修正を実施しました。

本脆弱性（CVE-2021-20837）は深刻な脆弱性であり、見知らぬ PHP ファイルなどの設置や .htaccess を書き換えられてサイトの閲覧に影響が出るなど、現在も引き続き攻撃が観測されています。

本件につき、これまでに Movable Type のアップデートのご対応いただいた方も含め、大変お手数となりますが、可及的速やかに対策の実施をお願いします。2021年10月20日のニュースでお知らせしたワークアラウンドとなる XMLRPC API へのアクセス制限の対策は、引き続き有効です。

＜対象製品＞

対象は次のバージョンです。
Movable Type 4.0 以降、Movable Type 7 r.5004、6.8.4 以前のすべてのバージョンが本脆弱性の影響を受けます。

• Movable Type 7 r.4207 - r.5004
• Movable Type 6.0.0 - 6.8.4
• Movable Type Advanced 7 r.4502 - r.5004
• Movable Type Advanced 6.0.2 - 6.8.4
• Movable Type Premium (Advanced Edition) 1.0 - 1.48

※ Movable Type クラウド版は、すべての環境で本脆弱性の対策が完了しています。
※ MovableType.net は、本脆弱性の影響はありません。

＜対象製品をご利用のすべての方に行っていただきたい対策＞

Movable Type のアップデートもしくは、XMLRPC API へのアクセス制限

• 脆弱性対策済の Movable Type 最新版（Movable Type 7 r.5005、Movable Type 6.8.5、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.49）へのアップデートを行ってください。
• アップデートが難しい場合には、XMLRPC API へのアクセスを制限する（API を削除するなど）の対処を行ってください。
• Movable Type を利用していない方は、サーバーから削除してください。

攻撃による被害の有無の確認

• 脆弱性への対策を行う前に攻撃を受けていた可能性があります。サーバー上に不審なファイルがないか、ログに不審な形跡がないかを確認してください。

＜Movable Type 最新版の入手＞

Movable Type 最新版の入手方法ならびに、本件のより詳細な情報については、以下のリンク先をご参照ください。

▶ [重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始（セキュリティアップデート）

Six Apart、Movable Type、Lekumo は、シックス・アパート株式会社の登録商標です。