シックス・アパートが「Movable Type」の再修正版を公開、10月の修正版で不十分な箇所

ブログ・CMS(コンテンツ管理システム)と関連サービスのシックス・アパートは、同社のCMS製品「Movable Type」の再修正版「7 r.5005」「6.8.5」「Premium・Premium(Advanced Edition)1.49」を公開した、と12月16日発表した。脆弱(ぜいじゃく)性への対応で10月20日に公開した修正版に不十分だった箇所が見付かったため、追加修正した。

再修正の対象となるMovable Typeは、7 r.4207-r.5004▽6.0.0-6.8.4▽Advanced7 r.4502-r.5004▽Advanced6.0.2-6.8.4▽Premium(Advanced Edition)1.0-1.48。これまでにアップデートしていても、速やかに対策を行うよう求めている。Movable Typeクラウド版は全ての環境で対策が完了している。MovableType.netはこの脆弱性の影響はない。

脆弱性は深刻で、現在も引き続き攻撃が観測されている。攻撃を受けると見知らぬPHPファイルなどが設置されたり.htaccessを書き換えられたりしてサイト閲覧に影響が出る。アップデートが難しい時は、MLRPC APIへのアクセスを制限する(APIを削除するなど)などの対処が必要。Movable Typeを利用していない場合はサーバーから削除する。