全1686文字
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は3件のシステムトラブルを取り上げる。ブログツール「Movable Type」に見つかった脆弱性と、千葉県のWebサイト障害、プレイドの個人情報流出である。
「Movable Type」にコマンドインジェクションの脆弱性
シックス・アパートは2022年8月24日、同社が開発するブログツール「Movable Type」の脆弱性情報を公開し、脆弱性を修正するアップデートの提供を開始した。
シックス・アパートが公開したブログツール「Movable Type」の脆弱性情報
公開された脆弱性は、Movable TypeのXMLRPC API機能を経由した、組み込みコマンドやシェルコマンドの「コマンドインジェクションの脆弱性」(CVE-2022-38078)。シックス・アパートの発表と同日、JPCERTコーディネーションセンターと情報処理推進機構(IPA)はそれぞれ、Movable Typeのユーザーに対して注意喚起を出した。JPCERT/CCは深刻かつ影響範囲の広い脆弱性に対して注意喚起を出す。
Movable TypeのXMLRPC API機能については、2021年にもコマンドインジェクションの脆弱性(CVE-2021-20837)が見つかっている。このときは、脆弱性を悪用する攻撃の動きが観測され、利用するWebサイトへの不正アクセスが発生していた。
アルファサードは2022年8月24日、同社が開発・提供するコンテンツ管理システム「PowerCMS」でも同じ脆弱性の影響を受けるとして、アップデートを提供するまでの間、XMLRPC API機能を無効にするよう呼びかけた。PowerCMSはMovable Typeをベースにして拡張したシステム。さらに同社は8月31日、PowerCMSでXMLRPC API機能のサポートを終了すると発表した。経緯について、2021年にコマンドインジェクションの脆弱性が見つかったときなどに顧客からの問い合わせがある中で、XMLRPC API機能を使用している顧客が少ないことが判明し、慎重に検討してサポートを終了したとしている。
アルファサードは「PowerCMS」のXMLRPC API機能のサポート終了を発表
からの記事と詳細 ( コンテンツ管理「PowerCMS」で機能の一部をサポート終了、続く脆弱性がきっかけに - ITpro )
https://ift.tt/Q4nbrMc
No comments:
Post a Comment