Movable TypeのXMLRPC脆弱性問題は、対岸の火事ではなかった。

PC版へ 2021年11月29日

2021年10月の終わり頃から話題になっていたMovable Typeの脆弱性問題。

一部の管理サイトでMovable Typeを利用しているので、ぼちぼち対処したほうがよかろうなぁ…と悠長に構えていたら、やられた。

症状は…

これは極々、初期段階の状態らしく、気づかずに対処が遅れると更に…

などなど、もう手に負えない状況に陥るようです。

緊急避難的な対処法は…

ひとまず落ち着いたら…

…で、充分に安全を確認した上で、サーバを再稼働。

常日頃から心がけておくべきは…

今回の Movable Type については、mt-xmlrpc.cgiだけでなく、トラックバック機能を利用していないならmt-tb.cgiの、コメント機能を利用しないならmt-comments.cgiの実行権限も不要だったりします。

また、WordPressでも、XMLRPC APIに潜在的な脆弱性が存在する可能性は否定できないので、この機能を利用していないのであれば、Disable XML-RPCという有能なプラグインをインストールして、機能をオフっておきましょう。

では、ご安全に。

関連記事

コメント

現在、コメント機能は停止しています。