各位

                                                   JPCERT-AT-2016-0019
                                                             JPCERT/CC
                                                            2016-04-26

                 <<< JPCERT/CC Alert 2016-04-26 >>>

ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160019.html


I. 概要

  アイデアマンズ株式会社のケータイキット for Movable Type には、OS コ
マンドインジェクションの脆弱性 (CVE-2016-1204) があります。この脆弱性
を悪用された場合、当該製品が動作するサーバ上で任意の OS コマンドを実行
される可能性があります。

  本脆弱性や影響の詳細については、以下を参照してください。

    Japan Vulnerability Notes JVNVU#92116866
    ケータイキット for Movable Type に OS コマンドインジェクションの脆弱性
    https://jvn.jp/vu/JVNVU92116866/

  なお、本脆弱性を悪用した攻撃活動が確認されているとの情報があります。


II. 対象

  対象となる製品とバージョンは以下の通りです。アイデアマンズ株式会社か
らは、ケータイキット for Movable Type の購入者向けに、本脆弱性の影響を
受けるかどうかを確認するプラグインなどの情報も公開されています。

  - ケータイキット for Movable Type
    - 1.35 から 1.641 までのバージョン

  また、ケータイキット for Movable Type を利用している製品も影響を受け
ます。詳細は、各ベンダの情報を参照してください。


III. 対策

  アイデアマンズ株式会社より脆弱性を修正したバージョンや、対策パッチが
公開されています。十分なテストを実施の上、適用をご検討ください。

  - ケータイキット for Movable Type 1.65

  また、今後、ケータイキット for Movable Type を利用する製品の各ベンダ
からも、修正済みのバージョンが提供される可能性がありますので、各ベンダ
から提供される情報を定期的に確認することをお勧めします。


IV. 参考情報

    アイデアマンズ株式会社
    [重要] ケータイキット for Movable Type 1.65 の提供を開始
    https://www.ideamans.com/release/20160423/

    株式会社 スカイアーク
    【緊急】ケータイキット緊急パッチファイルの提供について
    https://www.skyarc.co.jp/news/products/20160422.html

    シックス・アパート株式会社
    [重要] ケータイキット for Movable Type 1.65 の提供が開始されています
    http://www.sixapart.jp/movabletype/news/2016/04/23-2039.html


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ