ロリポップ!レンタルサーバー
ご利用のブラウザ(Internet Explorer)のサポートは2021年8月31日で終了します。
早めのブラウザの切り替えをお願いいたします。詳しくはこちら

Movable Type 4.0以降における脆弱性についてのお知らせ

2021/11/08

いつもロリポップをご利用いただき、誠にありがとうございます。

このたび、Movable Type 4.0 以上(Advanced、Premium も含む)で第三者によって、任意のOSコマンドが実行できる可能性がある脆弱性が報告されました。
Movable Typeの開発元となるシックス・アパート株式会社から、この脆弱性を修正したバージョンが公開されています。

(以下、12/17 12:02更新)
なお、開発元のシックス・アパート社で脆弱性に対応した修正バージョンが公開されていましたが、修正が不十分であったため、新たなセキュリティアップデートがリリースされています。対応については以下のページを参照くださいませ。

▽[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート) | Movable Type ニュース
https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html

また、対象のMovable Typeをご利用いただいている場合は、以下の対策を行っていただくようお願いいたします。

■ 対象のMovable Type
Movable Type 4.0 以上(Advanced、Premium も含む)が対象

■ 対策方法
Movable Type を最新のバージョンにアップグレードする手順についてはシックス・アパート社が提供されている以下のMovable Type ドキュメントサイトをご活用ください。

▽Movable Type 7 をアップデートする
https://www.movabletype.jp/documentation/mt7/installation/upgrade/update/

▽旧バージョンから Movable Type 7 へアップグレードする
https://www.movabletype.jp/documentation/mt7/installation/upgrade/upgrade/

お客様の大切なホームページへの被害を防ぐため、Movable Typeをご利用のお客様は早急なご確認とご対応をお願いいたします。


(11/26 19:00 更新)

この度、本インフォメーションで掲載いたしましたMovable Type 4.0以降における脆弱性を利用した改ざん攻撃の被害が広がっている状況を受け、確認された不正、改ざんファイルについて対応を行っております。

調査により以下ファイル名で確認されたものについては改ざん、不正ファイル設置の
拡大につながる恐れがあるため、パーミッションを「000」に変更いたしました。

mt-xmlrpc.cgi
DIZ.php
DKIZ.php
KIP.php
KIPLI.php
BESTF.php

なお、上記以外の不正、改ざんファイルについては現在可能な範囲で確認を進めており、以下対応を予定しております。

■対象のお客様
【ロリポップ!】[重要]Movable Typeの脆弱性悪用により設置された不正、改ざんファイル等への制限対応について というメールを11月26日19時30分に受信したお客様

■対応内容
お客様のサーバー上のデータのうち、2021年11月1日以降に作成・更新が確認され
改ざんされた恐れがある以下ファイルのパーミッションを「000」に変更します。

・「.php」拡張子のファイル

変更後、前述の制限ファイルのパスと合わせて、対象ファイルの一覧を
ウェブサーバーの最上階層に「mt_abuse_20211129.txt」というファイル名で設置いたします。

※もし、近日中のファイル設置、更新などにより通常ファイルが制限の対象となっている場合には
 FTPソフトなどによりパーミッションを戻して調整いただきますようお願いします。
※事前にお問合せいただいている場合も、対象ファイルが確認された場合には本通知が行われています。

■実施日時
・11月29日(月)

なお、対応実施日時までにお客様にて不正に設置されたデータの削除を行なっていただけた場合は、
サポートまでご連絡いただいたますと、パーミッション変更を実施する対象から除外させていただきます。

お手数ではございますが、ユーザー専用ページ内『サポート』より
以下の内容をご連絡いただけますようお願いいたします。

ーーーーーーーーーーーーーーーーーーーーーーーーー
・11月1日以降に不正に設置されたデータの削除を実施しました
ーーーーーーーーーーーーーーーーーーーーーーーーー

 ▽ユーザー専用ページ
 https://users.lolipop.jp/

大変お手数をおかけいたしますが、何卒ご協力のほどよろしくお願いいたします。

このエントリーをはてなブックマークに追加

カテゴリー: 新着情報

お知らせのトップへ