Movable Typeセキュリティーアップデートのお願い
2012年3月5日
株式会社ラクス サポートセンターです。
平素は弊社サービスをご利用いただきまして誠にありがとうございます。
Movable Type 5系および4系にてセキュリティーの脆弱性が報告されました。
開発元より修正版がリリースされていますので、ご利用のお客様はお手数ですが、お客様側でアップデート作業を行って頂きますようお願い申し上げます。
記
◆対象サービス:
下記サービスでMovable Typeの対象バージョン(下記を参照)をご利用のお客様
- エクスビット
- プレミアエクスビット
- ギガーン
- エクスカート(レンタルサーバープラン)
- エクスユニット
◆対象バージョン:
以下の各製品の、5.12、5.06 および 4.37、4.292 を含む以前のバージョン。
- Movable Type Open Source 4.x
- Movable Type Open Source 5.x
- Movable Type 4.x (Professional Pack, Community Pack を同梱)
- Movable Type 5.x (Professional Pack, Community Pack を同梱)
- Movable Type Enterprise 4.x
- Movable Type Advanced 5.x
◆確認された脆弱性:
- クロスサイトスクリプティングの脆弱性が存在し、任意のスクリプトを実行される可能性があります。
- セッションハイジャックが可能となる脆弱性が存在し、特定の条件において遠隔の第三者によってユーザになりすまされる可能性があります。
- クロスサイトリクエストフォージェリの脆弱性が存在し、悪意あるページを読み込んだ場合、第三者に設定変更・データ更新・情報の閲覧を実施される可能性があります。
- OSコマンドインジェクションの脆弱性が存在し、管理画面にログインすることができ、かつファイルアップロードの権限を持つユーザによって、任意のOSコマンドを実行される可能性があります。
◆対策方法:
Movable Typeの対象バージョンを導入されているお客様は、以下のURLを参考にアップデート作業を実施してください。
※アップデートを実施しなかったことにより攻撃された場合は、弊社の判断で強制的に アカウントを停止させて頂く場合もございます。
◆参考URL:
Movable Type公式ページ
http://www.movabletype.jp/index.html
以上、何卒宜しくお願い申し上げます。