【重要】Movable Type の XMLRPC API における脆弱性の対応のご案内

2021.11.22掲載

　　平素はvidew.comをご利用いただき、誠にありがとうございます。
　ホスティングサービス(ドメインL200G/L400G/L600G)にてMovable Typeをご利用中のお客様へのご案内となります。
　シックス・アパート社より、Movable Typeの特定バージョンにおいて影響を受ける脆弱性が公表されております。

　本脆弱性を悪用された場合、お客さまサーバー内情報の破壊や改ざん、漏えいなどの影響がでる可能性がございます。
　お手数ではございますが、下記に該当するお客さまは、開発者が提供する情報をもとに最新版のMovable Typeへの
　アップデートを行ってくださいますようお願いいたします。
　　※十分なテストを実施の上、修正済みバージョンを適用することをお勧めいたします。

　現状コンテンツが表示されていないお客さまは、.htaccessファイル、php.iniファイルが上書きされている可能性が
　ございますので、該当ファイルをご確認、置きなおしにてご対応ください。
　また、今後上記の影響によりレンタルサーバに悪影響が確認された場合、レンタルサーバ保守会社作業にて、
　以下の措置をとらせて頂く可能性がございますので、あらかじめご理解ご了承願います。
　　・不正ファイルのパーミッションはく奪/リネーム
　　・海外Webアクセスブロックを有効化する可能性
　　※mt-xmlrpc.cgiを正規利用していた場合にサイトが動作しなくなる可能性もございます。

　■対象のお客さま
　・ホスティングサービス(ドメインL200G/L400G/L600G)にてMovable Typeの対象バージョンをご利用のお客さま
　・Movable Typeをご利用でない場合も、Webサーバーに対象バージョンのインストールをされているお客さま

　■脆弱性の影響を受けるバージョン
　　Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
　　Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
　　Movable Type Advanced 7 r.5002 およびそれ以前
　　(Movable Type Advanced 7系)
　　Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
　　Movable Type Premium 1.46 およびそれ以前
　　Movable Type Premium Advanced 1.46 およびそれ以前

　■対策
　　Movable Typeを最新バージョンへアップデートしてください。
　　【対象バージョン】
　　Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47
　　※ご契約のプランによっては、自動インストールに別途有償オプションのお申し込みが必要な場合や、自動インストール
　　　自体が行えない場合もございます。

　■関連情報
　　脆弱性の詳細につきましては下記をご覧ください。
　【シックス・アパート社】
　　[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始（セキュリティアップデート）
　　　　https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
　【JVN】
　　Movable Type の XMLRPC API における OSコマンドインジェクションの脆弱性　緊急
　　　　https://jvn.jp/jp/JVN41119755/index.html