-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2016-0019 JPCERT/CC 2016-04-26(新規) 2016-05-06(更新) <<< JPCERT/CC Alert 2016-04-26 >>> ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160019.html I. 概要 アイデアマンズ株式会社のケータイキット for Movable Type には、OS コ マンドインジェクションの脆弱性 (CVE-2016-1204) があります。この脆弱性 を悪用された場合、当該製品が動作するサーバ上で任意の OS コマンドを実行 される可能性があります。 本脆弱性や影響の詳細については、以下を参照してください。 Japan Vulnerability Notes JVNVU#92116866 ケータイキット for Movable Type に OS コマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU92116866/ なお、本脆弱性を悪用した攻撃活動が確認されているとの情報があります。 II. 対象 対象となる製品とバージョンは以下の通りです。アイデアマンズ株式会社か らは、ケータイキット for Movable Type の購入者向けに、本脆弱性の影響を 受けるかどうかを確認するプラグインなどの情報も公開されています。 - ケータイキット for Movable Type - 1.35 から 1.641 までのバージョン また、ケータイキット for Movable Type を利用している製品も影響を受け ます。詳細は、各ベンダの情報を参照してください。 III. 対策 アイデアマンズ株式会社より脆弱性を修正したバージョンや、対策パッチが 公開されています。十分なテストを実施の上、適用をご検討ください。 - ケータイキット for Movable Type 1.65 また、今後、ケータイキット for Movable Type を利用する製品の各ベンダ からも、修正済みのバージョンが提供される可能性がありますので、各ベンダ から提供される情報を定期的に確認することをお勧めします。 ** 更新: 2016年05月06日追記 ***************************************** アイデアマンズ株式会社によれば、緊急パッチは使用せず、最新バージョン 1.65 へのバージョンアップを行うことが推奨されるとのことです。 アイデアマンズ株式会社 [2016-04-22]緊急パッチファイルの提供を開始 (4/28 更新) https://www.ideamans.com/release/20160422/ ********************************************************************* IV. 参考情報 アイデアマンズ株式会社 [重要] ケータイキット for Movable Type 1.65 の提供を開始 https://www.ideamans.com/release/20160423/ ** 更新: 2016年05月06日追記 ***************************************** アイデアマンズ株式会社 [重要] ケータイキット for Movable Typeの脆弱性により設置された不正ファイルを、詳細に発見・検査するツールを提供 https://www.ideamans.com/release/20160428/ ケータイキット for Movable Type ライセンス登録状況の専用問い合わせ窓口 https://www.ideamans.com/release/20160502/ ********************************************************************* 株式会社 スカイアーク 【緊急】ケータイキット緊急パッチファイルの提供について https://www.skyarc.co.jp/news/products/20160422.html シックス・アパート株式会社 [重要] ケータイキット for Movable Type 1.65 の提供が開始されています http://www.sixapart.jp/movabletype/news/2016/04/23-2039.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2016-04-26 初版 2016-05-06 「III. 対策」、「IV. 参考情報」の修正 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJXK/28AAoJEDF9l6Rp7OBIFT8IAKjtX7s0TdRumgRbEQPUtkTl 4tRrZCavKB4FFLpUz4CgnfTV1hoY4pL+OWvuVNsqdmyXU3puE9c0j6Zl4KZ51gjV sltyLqYvBqOf5fmxuUXeB9xXdQdL/8J3baa+IxLTJOtHLIhLO3LwQVy1ayrt34qF ozJCPLyPO3uUfOeKpWU2n8YVresgxw5y3FgHPBVzJ28NC7OhEnobg1/ikFVRDE7u DeObn7sU3c0c6lPOYRSo59/uZZXtiK9FHFGJviCKKY2/GT4qsafMq/Lo/j3jsRxn 4g6Y9tHduzn6itaV2+LboTXte8wOE2OWhw5H2rJxZdImuX071oRZ4FHSAd2M0h4= =Xn+3 -----END PGP SIGNATURE-----