ちょっと時間経っていますがお仕事上、身近な話題なので書いておきます。
ゴールデンウィーク開始直前でしたが、Movable Type で利用可能な携帯サイトの構築プラグインとしてアイデアマンズ社が開発・販売している「ケータイキット for Movable Type」に、OSコマンドインジェクションの脆弱性が発見され、すでにその悪用によって不正アクセス・情報漏洩被害が起きていることから、緊急度の高い案件になっています。
- 追記: プレスリリース - [重要] ImageMagickの脆弱性に対応したケータイキット for Movable Type Ver.1.66の提供を開始 : アイデアマンズ株式会社
- プレスリリース - 【重要】ケータイキット for Movable Typeの脆弱性について : アイデアマンズ株式会社
- プレスリリース - 【重要】追記:バージョンごとのパッチファイルを公開。 ケータイキット for Movable Type 1.65 の提供を開始 : アイデアマンズ株式会社
Movable Type を開発している Six Apart 社からもリリースが出されているほか、JPCERT/CC にも注意喚起が上がっています。
現在公開されている脆弱性の内容は下記の通り。
想定される影響と対策
ケータイキット for Movable Type の画像処理機能に、OS コマンドインジェクションの脆弱性が存在する。悪意のある任意のリクエストパラメータにより、任意の OS コマンドを実行される可能性がある。
- プラグインがインストールされているかは Movable Type インストールディレクトリの
plugins
ディレクトリ内にKeitaiKit
ディレクトリがあるかを確認 - プラグインが不要な場合はディレクトリごと削除(Movable Type のプラグイン管理画面から該当プラグインを 「無効」 にしただけではアンインストールにはならないので注意)
- 継続して使用する場合は後述の通り修正済みバージョンへの更新を実施
- 何らかの理由で修正済みバージョンへの更新が不可能な場合はプラグインを削除(バージョン別に緊急パッチも提供されているがあくまで一時的な対応用)
影響を受けるバージョン
ケータイキット for Movable Type 1.35 ~ 1.641 まで。
修正済みバージョン
脆弱性を修正したバージョン 1.65 が公開済み。ダウンロードページより入手可能。
バージョン 1.35~1.63 までのユーザーは修正済みバージョンへの更新後に全体(ウェブサイト / ブログ)の再構築が必要。1.64 以降の場合はプラグインの更新のみで問題なし。
[追記] ImageMagick の脆弱性に対応したバージョン 1.66 が公開されています。1.65 のユーザーも要バージョンアップ。「プレスリリース - [重要] ImageMagickの脆弱性に対応したケータイキット for Movable Type Ver.1.66の提供を開始 : アイデアマンズ株式会社」
該当プラグインがバンドルされている製品
その他、詳しくは開発元のプレスリリースを確認してください。
ちなみに、Movable Type 自体に脆弱性があったわけではないのでそこは勘違いないようにしましょう。そういえば、Movable Type 利用者にとっては、別件で発表されている ImageMagick の脆弱性の方が関係すると思います (Movable Type は画像処理ライブラリとして初期設定で ImageMagick を利用するようになっています)ので、要確認です。
詳しくは下記にまとめています。
WordPress も 3.5 以降は ImageMagick (または GD) を使用するようになっていますね(サーバにインストールされている場合は)。