-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2021-0047 JPCERT/CC 2021-10-20(新規) 2021-12-17(更新) <<< JPCERT/CC Alert 2021-10-20 >>> Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210047.html I. 概要 2021年10月20日、シックス・アパート株式会社は、Movable TypeのXMLRPC API におけるOSコマンドインジェクションの脆弱性(CVE-2021-20837)に関する情 報を公開しました。本脆弱性が悪用された場合、遠隔の第三者が、任意のOSコ マンドを実行する可能性があります。 シックス・アパート株式会社 [重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート) https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html 影響を受けるMovable Typeを使用している場合、シックス・アパート株式会社 が公開している情報を確認し、速やかに対策を適用することを推奨します。 ** 更新: 2021年11月5日追記 ******************************************* JPCERT/CCは、2021年10月26日に本脆弱性を実証するコード(PoC)が公開 されていることを確認しています。 また、株式会社ラックによると、10月27日から脆弱性の有無を調べる通信が、 11月1日には脆弱な環境に不審ファイルを配置することを目的とした通信がそ れぞれ観測されており、実際にファイルが配置される事例も確認されていると のことです。 影響を受けるバージョンを利用されている場合は、速やかに対策を適用するこ ととあわせて、株式会社ラックが公開している情報をもとに攻撃の有無を調査 することを推奨します。 株式会社ラック 【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を! https://www.lac.co.jp/lacwatch/alert/20211102_002780.html ********************************************************************** ** 更新: 2021年11月9日追記 ******************************************* 2021年10月22日、アルファサード株式会社からPowerCMSのXMLRPC APIにおける 脆弱性について対策したPowerCMSのパッチが公開されました。 PowerCMSは、Movable Typeをベースとした製品であり、本脆弱性と同様の影響 を受ける可能性があるため、アルファサード株式会社が公開している情報を確 認し、速やかに対策を適用することを推奨します。 アルファサード株式会社 PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策) https://www.powercms.jp/news/release-patch-xmlrpc-api-202110.html ********************************************************************** ** 更新: 2021年11月25日追記 ******************************************* 2021年10月22日にアルファサード株式会社から公開されたPowerCMSのパッチに 関して、本パッチで対策されたXMLRPC APIにおける脆弱性にCVE-2021-20850が 採番されました。 Japan Vulnerability Notes JVN#17645965 PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN17645965/ ********************************************************************** ** 更新: 2021年12月16日追記 ****************************************** 2021年12月16日、シックス・アパート株式会社は、2021年10月20日に公開した バージョンの修正が不十分であることが確認されたと発表し、本脆弱性を修正 するバージョンを公開しました。 シックス・アパート株式会社 [重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート) https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html ********************************************************************** ** 更新: 2021年12月17日追記 ****************************************** 2021年12月16日、アルファサード株式会社は、2021年10月22日に公開した修正 ファイルの対策が不十分であったとして、不十分であったケースについて対策 を行った修正ファイルを公開しました。 アルファサード株式会社 XMLRPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965) 対策の修正ファイルについて https://www.powercms.jp/news/release-fix-xmlrpc-api-202112.html ********************************************************************** II. 対象 次のバージョンのMovable Typeが本脆弱性の影響を受けます。 - Movable Type 7 r.5004およびそれ以前(Movable Type 7系) - Movable Type 6.8.4およびそれ以前(Movable Type 6系) - Movable Type Advanced 7 r.5004およびそれ以前(Movable Type Advanced 7系) - Movable Type Advanced 6.8.4およびそれ以前(Movable Type Advanced 6系) - Movable Type Premium 1.48およびそれ以前 - Movable Type Premium Advanced 1.48およびそれ以前 ** 更新: 2021年12月16日追記 ****************************************** 脆弱性(CVE-2021-20837)の影響を受けるバージョン情報を更新しました。 ********************************************************************** 開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。 III. 対策 シックス・アパート株式会社から本脆弱性を修正した次のバージョンが公開さ れています。速やかに対策の実施をご検討ください。 - Movable Type 7 r.5005(Movable Type 7系) - Movable Type 6.8.5(Movable Type 6系) - Movable Type Advanced 7 r.5005(Movable Type Advanced 7系) - Movable Type Advanced 6.8.5(Movable Type Advanced 6系) - Movable Type Premium 1.49 - Movable Type Premium Advanced 1.49 ** 更新: 2021年12月16日追記 ****************************************** 脆弱性(CVE-2021-20837)の対策バージョン情報を更新しました。 ********************************************************************** IV. 回避策 本脆弱性への早期対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽減 するため、シックス・アパート株式会社より回避策が公開されています。 詳しくは、シックス・アパート株式会社が提供する情報をご確認ください。 V. 参考情報 シックス・アパート株式会社 [重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート) https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html Japan Vulnerability Notes JVN#41119755 Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN41119755/ ** 更新: 2021年12月16日追記 ****************************************** シックス・アパート株式会社 [重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート) https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html ********************************************************************** 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ________ 改訂履歴 2021-10-20 初版 2021-11-05 「I. 概要」の追記 2021-11-09 「I. 概要」の追記 2021-11-25 「I. 概要」の追記、2021年11月9日追記内容の修正 2021-12-16 「I. 概要」、「V. 参考情報」の追記、「II. 対象」、「III. 対策」の一部記載の追記・更新 2021-12-17 「I. 概要」の追記 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhvBV+AAoJEKntH+qu5CT/260P/3c8Xp8HnDqSYvtzfUwhV7H9 F16nEdFKrMDRuBvaCC9hQPELQMTKS+rQNQk1HXpvz781NLrurP+CNkMq7pI9Cq7j mpJUkDVXcDlUA9o6nzZVAx7juNseVXOiTcV6eXg8wBZ3YqCn+J2aCcQ+xEAwxYmK gUzP2NI5LC/9RswY6NMYncIzW0SurpPElauLJiLNdgVSzJjtZBBPYkq0BlTYGr5c J63V97pSNX86jov/aeFDLDRTGdDaeOhw16h34wfZkqCeQVqn/JtmZeQ4/lci3tjW qDZETe74n31SpELrQKLWWkb1NGYEiwcZB97NQEjJLCgk/2N+H2AOjVeo0jQ25XFa WRJurvHGDw9itfdFgfGmmvttnIeLy9ZAvTqTJnKKO+vNPmurVErmn+APSNWBhUmV 9aBRYK2xWd+zfRqiKziQ4RReQbiuPX8T+VRDa8USp3TguNSDGCG4004cwa9MWVnb U8vpynCAh/3bZ3pHAQwp1L2RJGlcmyb6fjCX40s+Afhcs8NMy5Q8xk5r/X0q328O p50JEYsxRJpnq4lTavOzVsYwAEWIFJko9ALXMRMQrMSfAP3ckgz+FKzyySNtG4E2 +XlX1ckKYMZop3CaXE975obigEkxkmG7/lHW6R6pVLnQf0QYc4jMd9kmVK1XX18x k1vuWywPEV5A6qq+6oOT =g7+L -----END PGP SIGNATURE-----