ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-04-23

ケータイキット for Movable Type の脆弱性についてまとめてみた

| 22:29 |  ケータイキット for Movable Type の脆弱性についてまとめてみたを含むブックマーク

2016年4月22日、アイデアマンズ株式会社は同社製品の「ケータイキット for Movable Type」の脆弱性情報と緊急パッチを公開しました。既にこの脆弱性を悪用した不正アクセス被害が発生しています。ここでは関連情報をまとめます。

公式発表

開発元、およびバンドル製品を提供しているベンダより公開されている情報は次の通り。

アイデアマンズ
シックス・アパート
スカイアーク

脆弱性概要

対象ケータイキット for Movable Type
CVECVE-2016-1204
CVE-2016-3714他(ImageTragick)
影響RCE
重要度CVE-2016-1204:緊急
PoCCVE-2016-1204:公開なし。既に悪用あり
CVSS(v3)CVE-2016-1204:7.3(base)
脆弱性情報
脆弱性の影響説明

ケータイキット for Movable Type の画像処理機能には、OS コマンドインジェクションの脆弱性が存在します。悪意のある任意のリクエストパラメータにより、任意の OS コマンドを実行される可能性があります。

https://www.ideamans.com/release/20160422/
脆弱性特設ページ

次のURLより確認できる。ID/PWにはライセンスキーを入力する必要がある。

タイムライン

日時出来事
2016年4月21日 0時〜3時J-WAVE Webサイトで当該製品を対象とした不正アクセスが発生。
2016年4月22日アイデアマンズが脆弱性情報を公開。緊急パッチをリリース。
同日スカイアークが約200社のユーザーへ注意喚起。
2016年4月23日アイデアマンズが修正版をリリース。
2016年4月25日アイデアマンズが脆弱性特設ページを開設。
2016年4月28日アイデアマンズが攻撃形跡検査ツールを公開。
2016年5月2日アイデアマンズが専用の問い合わせ窓口を公開。
2016年5月10日アイデアマンズがImageTragickの脆弱性などを修正した最新版を公開。

影響範囲

次のバージョンが影響を受ける。

CVE-2016-1204
  • 1.35 〜 1.641のバージョン
CVE-2016-3714、XSSなど
  • 1.65 以前のバージョン
バージョン確認方法

ケータイキットが導入されているか不明な場合は次のファイルが存在するかを確認する。

次のファイルを参照することでバージョンが確認できた。

$VERSION = '1.641';

バンドル製品

シックス・アパート製品

スカイアーク製品

対策

  • 修正版(ver 1.66)へ更新する。ver 1.35〜1.65までのユーザーは更新後に全体再構築が必要。
  • 最新版はダウンロードサイトより入手可能。
  • ver 1.641向け緊急パッチ適用していた場合もこの更新は必要。
回避策 (CVE-2016-1204)

ケータイキット for Movable Type 最新版へのセキュリティアップデートおよび上記の緊急パッチファイルの適用ができない場合は、以下の対応を行うことで脆弱性の回避を行うことができます。

ケータイキット for Movable Typeプログラムファイルを削除します。削除するディレクトリは以下のとおりです。

Movable Typeインストールディレクトリ/plugins/KeitaiKit

この対応により、ケータイキット for Movable Type は動作しなくなります。お早めに最新版のインストールを実施してください。

https://www.ideamans.com/release/20160423/

関連情報

この脆弱性が悪用されたインシデント

テイパーズより「弊社取引先」(詳細不明)のケータイキットに関するインシデント発表を行っている。