XMLRPC API におけるコマンド・インジェクションの脆弱性対策 (JVN#7602487)
PowerCMS について XMLRPC API おける OS コマンド・インジェクションの脆弱性 (JVN#7602487) が存在することがわかりました。これまでに XMLRPC API 機能を利用できなくすることで対策を行っている環境について影響はなく、新たに対策を行って頂く必要はございませんが、そうでない場合は当リリースの内容に従って対策をお願いいたします。
お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。
9月2日に公開されました JVN#7602487 は本脆弱性の件です。新たに脆弱性が見つかったわけではございませんので誤解されませんようお願いいたします。 (※2022/09/02 追記)
なお今回、XMLRPC API 機能のサポートを終了することを決定いたしました。 XMLRPC API 機能のサポート終了につきましては下記ページの案内を参照してください。
影響を受けない環境
- 過去に XMLRPC API における脆弱性がアナウンスされた際に XMLRPC API 機能を利用できなくすることで対策を行っている環境
- PowerCMS 6.00 / 5.20 / 4.50 以上のバージョンかつ mt-xmlrpc.cgi を PSGI の対象にしていない環境 (※1)
- PowerCMS クラウドの環境 (※2)
脆弱性の対象は XMLRPC API 機能ですので、当該機能の利用を制限されている場合に影響はありません。
※1 これら以降のバージョンでは mt-xmlrpc.cgi の同梱を終了しております
※2 PowerCMS クラウドの全環境では XMLRPC API 機能の利用を制限しております
影響を受ける環境
- PowerCMS 6.021/ 5.21 / 4.51 を含む以前のバージョンで XMLRPC API 機能を利用している環境
※ サポートを終了しておりますバージョンについては記載しておりません。
XMLRPC API を利用していない場合の対策
XMLRPC API を利用していない場合、XMLRPC API 機能を利用できなくすることで対策が行えますが、PowerCMS を CGI/FastCGI/PSGI で利用しているかによってその方法が異なります。
PowerCMS を CGI/FastCGI で利用している場合
下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。
- mt-xmlrpc.cgi
※ PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。
PowerCMS を PSGI で利用している場合
環境変数 RestrictedPSGIApp を設定し、XMLRPC アプリケーションを禁止してください。
RestrictedPSGIApp xmlrpc
※ 設定後、PSGI のプロセスを再起動してください。
XMLRPC API を利用している場合の対策
修正ファイルをダウンロードして、ご利用の PowerCMS へ適用してください。
- XMLRPC API におけるコマンド・インジェクションの脆弱性対策 (ログインが必要です)
修正ファイルを適用できない場合、mt-xmlrpc.cgi へのアクセスを信頼のおけるアクセス元のみに限定したり HTTP 認証を設定するなどアクセスを制限してください。
脆弱性を利用した攻撃を受けてしまった場合
脆弱性に対策を行う前に不正アクセスが行われている可能性が見られる場合には下記ページの内容を参考に調査・対応してください。
サポートサイト
サポートサイトへ初めてアクセスされる方は、お手数ですがまずサインアップを行ってください(ライセンスコードが必要です)。
