Movable Type 4の脆弱性と「SiteGuard」シリーズの対応

 2013.01.29  株式会社ジェイピー・セキュア

リモートから任意のコードが実行される危険性
コンテンツマネジメントシステム(CMS)Movable Typeのアップグレードプログラムであるmt-upgrade.cgiに深刻な脆弱性が報告されています(CVE-2013-0209)。この脆弱性を悪用することにより、外部から任意のコードが実行される恐れがあります。
mt-upgrade.cgiをご利用のお客様は、下記の情報などを参考に対策を実施することが推奨されます。

参考情報:
Movable Typeのmt-upgrade.cgiにおけるevalインジェクションおよびSQLインジェクションの脆弱性
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001237.html

Vulnerability Summary for CVE-2013-0209 (NIST)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0209

尚、「SiteGuard」では、最新のトラステッド・シグネチャで、該当の脆弱性を悪用した攻撃に利用されるパターンを検出するシグネチャを追加し、対策を図っています。