Broadband Watch logo
最新ニュース
【 2009/12/25 】
【 2009/12/24 】
Movable Typeで第三者の不正アクセスを許可してしまう脆弱性

 シックス・アパートは、ブログツール「Movable Type」において、第三者からの不正アクセスを許可してしまう脆弱性が発見されたと発表した。同社Webサイトにて対応方法を紹介するほか、脆弱性に対応した新バージョンを6月上旬に公開する予定だという。

 今回発見された脆弱性は、第三者がCookieの値を取得し、Movable Type管理画面CGIスクリプトのパスを取得した場合に不正なアクセスが可能になるというもの。また、Cookieの値がAtom APIによるログイン時のパスワードとしても利用されているため、Atom APIに対応した対応ブログクライアント経由での不正な記事の投稿や削除が可能になるという。

 脆弱性が発見されたバージョンはMovable Type日本語版の全てのバージョンで、英語版でも同様の脆弱性が確認されている。シックス・アパートでは、脆弱性に対応した「3.16」を6月上旬に公開する予定。また、脆弱性対策としてCGIスクリプトのパスを変更する、使用ブラウザのCookie保持期間を限定する、Atom APIで利用するアカウントは専用のものを用意し適切な権限を設定する、といった対策方法を公開している。


関連情報

URL
  第三者による不正アクセスを許す危険性の対策について
  http://www.movabletype.jp/archives/2005/05/post_11.html

関連記事
シックス・アパート、脆弱性を修正した「Movable Type 3.15」を公開


(大久保有規彦)
2005/05/12 15:46
Broadband Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.