JVN#45405689 で注意喚起されている複数の脆弱性についてワークアラウンドの対策
JVN#45405689 で注意喚起されている複数の脆弱性について、調査した結果、PowerCMS にもリスティングフレームワークの処理において、任意の Perl コードが実行される脆弱性 (RCE) と任意の SQL を実行できる脆弱性 (SQL インジェクション) があるとわかり対応を進めております。
対応版については近日中にリリースを行う予定です。リリースを行うまでの間、下記の内容に従って対策をお願いいたします。
また、本脆弱性の深刻度から、先日サポートを終了した PowerCMS 4 系についても対策版のリリースを予定しております。
お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。
影響を受けるバージョン
- PowerCMS 7.01 / 6.82 / 5.42 を含む以前のバージョン
※ サポートを終了しておりますバージョンについては記載しておりませんが、サポートを終了しているバージョンもこの脆弱性の影響を受けます。
対策版リリースまでの対策
脆弱性は Data API を利用されている場合にリスクがございます。Data API を利用できなくすることで対策が行えます。
また、「Data APIを利用していない環境の場合」の対策を行い、一時的に Data API を利用できなくすることもご検討ください。
Data APIを利用している環境の場合
Data API (mt-data-api.cgi) へのアクセスに対して、アクセス元による制限や HTTP 認証など、信頼のおけるアクセスのみアクセス可能となるように制限を行ってください。
Data APIを利用していない環境の場合
Data API へアクセスできなくすることで対策を行ってください。
PowerCMS を CGI/FastCGI で利用している場合
下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。
- mt-data-api.cgi
※ PowerCMS の環境変数 DataAPIScript を設定されている場合、mt-data-api.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。
PowerCMS を PSGI で利用している場合
環境変数 RestrictedPSGIApp に data_api を設定し、Data API を禁止してください。
RestrictedPSGIApp data_api
ワークアラウンドの対策 (PowerCMS クラウドの場合)
PowerCMS クラウドの場合、 過去30日間の Data API の利用状況を確認し、Data API を利用していないと判断できた契約環境は、準備でき次第、一斉に対策を行います。
また、Data API を利用していないと判断できなかった契約環境の場合、お客様と調整の上、対策を行います。
