サービス関連情報

HOME > お知らせ > サービス関連情報 > 2021/11/25

サービス関連情報

Movable TypeのXMLRPC APIにおける脆弱性に関する注意喚起 【11/26更新】

2021年11月25日

お客様各位

アルファメール/アルファメール2をご利用いただきまして、誠にありがとうございます。

2021年10月20日より、シックス・アパート株式会社が提供する「Movable Type」の特定のバージョンにて脆弱性を利用した攻撃が報告されております。

本脆弱性を利用した攻撃を受けてしまうと、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害が確認されています。

攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、シックス・アパート株式会社が提供する情報をもとに、アップデートを実行してください。

対象の「Movable Type」バージョンをご利用のお客様におかれましては、お手数をおかけしますが最新版のMovable Typeへのアップデートを行っていただきますようお願いいたします。

本脆弱性に関する情報は、下記をご参考にしてください。

影響を受ける対象バージョン
Movable Type4.0以降のバージョン
※詳細なバージョンはシックス・アパート株式会社のホームページを確認してください
シックス・アパート社の告知(Movable Type News)
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
一般社団法人JPCERTコーディネーションセンター
Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210047.html

【2021年11月26日追記】
当該脆弱性を利用した攻撃が多数確認されているため、MovableTypeをご利用のすべてお客様を対象に、11月26日午後よりお客様Webサーバ上にありますmt-xmlrpc.cgiの実行権限を削除するための属性(パーミッション)変更を順次実施いたします。

今後ともアルファメール/アルファメール2をご愛顧いただけますようお願い申し上げます。