ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起
最終更新: 2016-05-06
各位
JPCERT-AT-2016-0019
JPCERT/CC
2016-04-26(新規)
2016-05-06(更新)
<<< JPCERT/CC Alert 2016-04-26 >>>
ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160019.html
I. 概要
アイデアマンズ株式会社のケータイキット for Movable Type には、OS コ
マンドインジェクションの脆弱性 (CVE-2016-1204) があります。この脆弱性
を悪用された場合、当該製品が動作するサーバ上で任意の OS コマンドを実行
される可能性があります。
本脆弱性や影響の詳細については、以下を参照してください。
Japan Vulnerability Notes JVNVU#92116866
ケータイキット for Movable Type に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92116866/
なお、本脆弱性を悪用した攻撃活動が確認されているとの情報があります。
II. 対象
対象となる製品とバージョンは以下の通りです。アイデアマンズ株式会社か
らは、ケータイキット for Movable Type の購入者向けに、本脆弱性の影響を
受けるかどうかを確認するプラグインなどの情報も公開されています。
- ケータイキット for Movable Type
- 1.35 から 1.641 までのバージョン
また、ケータイキット for Movable Type を利用している製品も影響を受け
ます。詳細は、各ベンダの情報を参照してください。
III. 対策
アイデアマンズ株式会社より脆弱性を修正したバージョンや、対策パッチが
公開されています。十分なテストを実施の上、適用をご検討ください。
- ケータイキット for Movable Type 1.65
また、今後、ケータイキット for Movable Type を利用する製品の各ベンダ
からも、修正済みのバージョンが提供される可能性がありますので、各ベンダ
から提供される情報を定期的に確認することをお勧めします。
** 更新: 2016年05月06日追記 *****************************************
アイデアマンズ株式会社によれば、緊急パッチは使用せず、最新バージョン
1.65 へのバージョンアップを行うことが推奨されるとのことです。
アイデアマンズ株式会社
[2016-04-22]緊急パッチファイルの提供を開始 (4/28 更新)
https://www.ideamans.com/release/20160422/
*********************************************************************
IV. 参考情報
アイデアマンズ株式会社
[重要] ケータイキット for Movable Type 1.65 の提供を開始
https://www.ideamans.com/release/20160423/
** 更新: 2016年05月06日追記 *****************************************
アイデアマンズ株式会社
[重要] ケータイキット for Movable Typeの脆弱性により設置された不正ファイルを、詳細に発見・検査するツールを提供
https://www.ideamans.com/release/20160428/
ケータイキット for Movable Type ライセンス登録状況の専用問い合わせ窓口
https://www.ideamans.com/release/20160502/
*********************************************************************
株式会社 スカイアーク
【緊急】ケータイキット緊急パッチファイルの提供について
https://www.skyarc.co.jp/news/products/20160422.html
シックス・アパート株式会社
[重要] ケータイキット for Movable Type 1.65 の提供が開始されています
http://www.sixapart.jp/movabletype/news/2016/04/23-2039.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
________
改訂履歴
2016-04-26 初版
2016-05-06 「III. 対策」、「IV. 参考情報」の修正
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ