JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2016 > ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起

最終更新: 2016-05-06

ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起


各位

                                                   JPCERT-AT-2016-0019
                                                             JPCERT/CC
                                                      2016-04-26(新規)
                                                      2016-05-06(更新)

                 <<< JPCERT/CC Alert 2016-04-26 >>>

ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160019.html


I. 概要

  アイデアマンズ株式会社のケータイキット for Movable Type には、OS コ
マンドインジェクションの脆弱性 (CVE-2016-1204) があります。この脆弱性
を悪用された場合、当該製品が動作するサーバ上で任意の OS コマンドを実行
される可能性があります。

  本脆弱性や影響の詳細については、以下を参照してください。

    Japan Vulnerability Notes JVNVU#92116866
    ケータイキット for Movable Type に OS コマンドインジェクションの脆弱性
    https://jvn.jp/vu/JVNVU92116866/

  なお、本脆弱性を悪用した攻撃活動が確認されているとの情報があります。


II. 対象

  対象となる製品とバージョンは以下の通りです。アイデアマンズ株式会社か
らは、ケータイキット for Movable Type の購入者向けに、本脆弱性の影響を
受けるかどうかを確認するプラグインなどの情報も公開されています。

  - ケータイキット for Movable Type
    - 1.35 から 1.641 までのバージョン

  また、ケータイキット for Movable Type を利用している製品も影響を受け
ます。詳細は、各ベンダの情報を参照してください。


III. 対策

  アイデアマンズ株式会社より脆弱性を修正したバージョンや、対策パッチが
公開されています。十分なテストを実施の上、適用をご検討ください。

  - ケータイキット for Movable Type 1.65

  また、今後、ケータイキット for Movable Type を利用する製品の各ベンダ
からも、修正済みのバージョンが提供される可能性がありますので、各ベンダ
から提供される情報を定期的に確認することをお勧めします。

** 更新: 2016年05月06日追記 *****************************************
  アイデアマンズ株式会社によれば、緊急パッチは使用せず、最新バージョン
1.65 へのバージョンアップを行うことが推奨されるとのことです。

    アイデアマンズ株式会社
    [2016-04-22]緊急パッチファイルの提供を開始 (4/28 更新)
    https://www.ideamans.com/release/20160422/
*********************************************************************


IV. 参考情報

    アイデアマンズ株式会社
    [重要] ケータイキット for Movable Type 1.65 の提供を開始
    https://www.ideamans.com/release/20160423/

** 更新: 2016年05月06日追記 *****************************************
    アイデアマンズ株式会社
    [重要] ケータイキット for Movable Typeの脆弱性により設置された不正ファイルを、詳細に発見・検査するツールを提供
    https://www.ideamans.com/release/20160428/
    
    ケータイキット for Movable Type ライセンス登録状況の専用問い合わせ窓口
    https://www.ideamans.com/release/20160502/
*********************************************************************

    株式会社 スカイアーク
    【緊急】ケータイキット緊急パッチファイルの提供について
    https://www.skyarc.co.jp/news/products/20160422.html

    シックス・アパート株式会社
    [重要] ケータイキット for Movable Type 1.65 の提供が開始されています
    http://www.sixapart.jp/movabletype/news/2016/04/23-2039.html


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2016-04-26 初版
2016-05-06 「III. 対策」、「IV. 参考情報」の修正

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english