XMLRPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965) 対策の修正ファイルについて
XMLRPC API 機能について新たな脆弱性 (JVN#7602487) が存在することがわかりました。下記、最新のアナウンスを参照してください。 (2022年8月31日)
10月22日に公開致しました XMLRPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965) への修正ファイルについて、対策が不足していることがわかりました。
不十分であったケースについて対策を行った修正ファイルを提供いたします。
なお、不十分であったのは修正ファイルによる対策を行っている場合のみです。XMLRPC API 機能を利用できなくすることで対策を行っている環境について影響はございません。
また、XMLRPC API の脆弱性についてまだ対策を行っていない場合には早急に対策を行ってください。
お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。
影響を受けない環境
- XMLRPC API における脆弱性について、XMLRPC API 機能を利用できなくすることで対策を行っている環境
- PowerCMS クラウドの環境
影響を受ける環境
- XMLRPC API における脆弱性に対策を行っていない環境
- 10月22日公開の修正ファイルによって対策を行った XMLRPC API 機能が利用可能な環境
XMLRPC API を利用している場合の対策
修正ファイルをダウンロードして、ご利用の PowerCMS へ適用してください。
修正ファイルを適用できない場合、mt-xmlrpc.cgi へのアクセスを信頼のおけるアクセス元のみに限定したり HTTP 認証を設定するなどアクセスを制限してください。
XMLRPC API を利用していない場合の対策
XMLRPC API を利用していない場合、XMLRPC API 機能を利用できなくすることで対策が行えますが、PowerCMS を CGI/FastCGI/PSGI で利用しているかによってその方法が異なります。
PowerCMS を CGI/FastCGI で利用している場合
下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。
- mt-xmlrpc.cgi
※ PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。
PowerCMS を PSGI で利用している場合
環境変数 RestrictedPSGIApp を設定し、XMLRPC アプリケーションを禁止してください。
RestrictedPSGIApp xmlrpc
脆弱性を利用した攻撃を受けてしまった場合
脆弱性に対策を行う前に不正アクセスが行われている可能性が見られる場合には下記ページの内容を参考に調査・対応してください。
サポートサイト
サポートサイトへ初めてアクセスされる方は、お手数ですがまずサインアップを行ってください(ライセンスコードが必要です)。
