掲載:2021年12月17日
~ 2021年12月17日 追記 ~
MovableType の2021年10月20日にリリースされたセキュリティアップデート版におきまして、
セキュリティ上の問題(脆弱性) への修正が不十分であることが確認されました。
--------------------------------------------------------
対象となるバージョン:
・Movable Type (Advanced) 7 r.4207 - r.5004
・Movable Type (Advanced) 6.0.0 - 6.8.4
・Movable Type Premium (Advanced Edition) 1.0 - 1.48
--------------------------------------------------------
MovableTypeを提供しているシックス・アパート株式会社からも脆弱性と対処の方法について、
Webサイトで告知がされております。
※[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始
(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html
2021年10月20日にリリースされたセキュリティアップデート版をインストールされた方は
対処方法としまして、 最新版のMovableTypeにアップデートすることが推奨されていますが、
そちらの対応が難しい場合には11月11日にご案内しております、
「mt-xmlrpc.cgi への外部からのアクセス制限を行う または 削除」の対策をお願いいたします。
もしも現在 Movable Type をご使用でない場合には、 Movable Typeをインストールしている
ディレクトリごとの削除もご検討いただければと存じます。
何卒よろしくお願いいたします。
掲載:2021年11月11日
平素より弊社サービスをご利用頂きまして誠にありがとうございます。
※[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の
提供を開始(セキュリティアップデート)(外部サイト)
対処方法として、最新版のMovableTypeにアップデートすることが推奨されていますが、
そちらの対応が難しい場合には以下の対応をお願いいたします。
※以下の方法は上記URLのシックス・アパート株式会社のWebサイトに記載されております、
「古い Movable Type を利用していてアップデートがすぐに行えない場合の対処方法について」を
参照したものです。
■対策方法
mt-xmlrpc.cgi への外部からのアクセス制限を行う または 削除
現在、Movable Typeを使用しておらず、削除しても問題ない場合には、
mt-xmlrpc.cgi自体をサーバから削除していただければと存じます。
削除することが難しい場合には、IPアドレスでの制限や BASIC 認証などのアクセス制限を行ってください。
(ユーザサポートページ:ウェブ上で、パスワードによるアクセス制限の利用は可能ですか?)
またmt-xmlrpc.cgiのファイルのパーミッション変更を「600」など、
外部からはアクセスできないものに変更していただくことでも、悪用防止が可能です。
-----------------------------------------------
●パーミッション変更方法
※FTPソフトによっても動作が異なりますが、こちらではFilezillaでの方法をご案内いたします。
1.対象のファイル「mt-xmlrpc.cgi」を右クリックします。
2.メニューが表示されるので「パーミッションの変更(F)」をクリックします。
3.パーミッションの変更画面が表示されますので、「属性値(N):600」に変更し、[OK]をクリックします。
以上でファイルのパーミッション変更は完了です。
-----------------------------------------------
他にも、新しい情報や多く寄せられるご質問に関しましては
こちらのページに追記していきますので、ご確認いただければと存じます。
ご不明点などございましたら、サポート窓口 までお問い合わせください。
何卒よろしくお願いいたします。
以上
サーバ・ネットワーク事業部