Movable Typeに不正アクセスを許す脆弱性、設定変更で回避を

Blog作成ツール「Movable Type」に、第三者による不正アクセスを許す脆弱性が発見された。修正版がリリースされる6月上旬までの間、回避策を取ることが推奨される。

» 2005年05月12日 19時58分 公開
[ITmedia]

 シックス・アパートは5月12日、Blog作成ツール「Movable Type」に、第三者による不正アクセスを許す恐れのある脆弱性が発見されたことを明らかにした。同社はWebサイト上にて問題を回避するための4つの対策を紹介し、ユーザーに対処を呼びかけている。

 脆弱性が存在するのはMovable Type日本語版のすべてのバージョン。英語版にも同様の脆弱性が存在するという。シックス・アパートでは対策方法を公開するだけでなく、6月上旬をめどに、問題を修正した「バージョン3.16」を出荷する予定だ。

 この脆弱性は、攻撃者がCookieの値を取得し、かつMovable Typeの管理画面CGIスクリプト「mt.cgi」へのパスを取得した場合、管理画面への不正アクセスを許してしまうという問題だ。このCookieの値は、Atom APIによるログイン時のパスワードとしても利用されているため、Atom APIに対応したBlogクライアントソフトからも同様に、記事の投稿や削除といった操作を行われる恐れがあるという。

 ここで特に注意すべきなのは、デフォルトの設定のままでは、mt.cgiへのパスが容易に推測/取得できてしまうということ。シックス・アパートでは、AdminCGIPathを設定してmt.cgiへのリンクを隠す方法を紹介し、他の3つの方策と合わせて、できる限り安全な設定でMovable Typeを運用するよう求めている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ