ホーム » ビジネスブログ » A-Form, A-Member, A-Reserve(MTプラグイン) »

【重要なお知らせ】MTプラグインA-Form・A-Member・A-Reserveの脆弱性について(2013年10月11日 三版)

2013年10月11日

【重要なお知らせ】MTプラグインA-Form・A-Member・A-Reserveの脆弱性について(2013年10月11日 三版)

投稿者 中野

平素はアークウェブのMovable Typeプラグインをご利用いただき、誠にありがとうございます。

弊社のMTプラグインA-Form、A-Member、A-Reserveに脆弱性が確認されました。重要なお知らせですので、該当製品をご利用の場合は最後までお読みください。

この記事では、脆弱性の内容、影響する製品とバージョン、導入済みのお客様に行っていただきたいことについて記載しています。(2013年10月11日 19時34分更新)

脆弱性の内容について

A-Form、A-Member、A-Reserveの機能であるフォームの自動疎通テスト を行えるソフトウェア「Selenium」内のファイルや、それを利用するスクリプト「selenium_test.cgi」で任意の外部ページなどを読み込むことができてしまいます。 これにより、外部のウェブページへのリダイレクトや、悪意あるスクリプトの実行が可能なクロスサイトスクリプティング(XSS)脆弱性があることがわかりました。

影響するバージョンについて

Seleniumによる自動疎通テスト機能を付けたバージョンであるA-Form Bamboo 1.3.1(2009年11月リリース)から、この脆弱性が存在していたことが判明しました。

該当する製品は以下の通りです。

  • A-Form Bamboo 1.3.x
  • A-Form Bamboo 2.x
  • A-Form PC 3.x
  • A-Form PC/Mobile 3.x
  • A-Member 3.x
  • A-Reserve 3.x

脆弱性への対処方法について

以下のディレクトリーにあるファイル類を削除してください。

  1. (MTのインストールディレクトリ)/plugins/AForm/selenium_test.cgi のselenium_test.cgiファイル  
  2. (MTのインストールディレクトリ)/mt-static/plugins/AForm/selenium-core-1.0.1/ の/selenium-core-1.0.1/ 以下すべて

対処についてのご注意

  • (17時15分更新)この記事の初稿では「Seleniumによる自動疎通テスト機能を使う場合は、Movable TypeをインストールしたディレクトリーにBASIC認証などの認証をかける」という方法も記載していましたが、この方法ではA-Formが使用する他のスクリプトにも影響を与えてしまうため、取り消します。従って、やむを得ず自動疎通テストは使用不可となりますが、ご了承ください
  • (19時31分更新)この記事の第二稿では「selenium_test.cgiファイル」の削除のみをご案内していましたが、他の脆弱性も見つかったため、上述の通り「selenium_test.cgiファイル」と「/selenium-core-1.0.1/以下すべて」の削除をお願いします

なお、脆弱性を解消した新バージョンについては10月15日(火)にリリースする予定です。

この度は、弊社の品質管理上のミスにより、お客様にご迷惑をお掛けしまして誠に申し訳ありません。また、内容の変更により度々お手間をお掛けしますことについても併せて深くお詫び申し上げます。

投稿者 中野 : 2013年10月11日 19:35

カテゴリー: A-Form, A-Member, A-Reserve(MTプラグイン)

タグ:


Movable Type用高機能メールフォーム生成プラグイン A-Formの詳細へ
Movable Type用会員限定サイトプラグイン A-Memberの詳細へ
Movable Type用予約サイト構築プラグイン A-Reserveの詳細へ
ARK-Web×CSR(企業の社会的責任)

アークウェブの本

Zen Cartによるオンラインショップ構築・運用テクニック―オープンソース徹底活用

Zen Cartによるオンラインショップ構築・運用テクニック―オープンソース徹底活用

内容充実のZen Cart公式本(v1.3対応)がついに発表です。アークウェブのスタッフをはじめZen-Cart.JPの中心メンバーが共著で執筆しました。続きを読む

Movable Type プロフェッショナル・スタイル

Movable Type プロフェッショナル・スタイル

ビジネスサイト構築におけるCMSとしてのMTの活用方法について、豪華執筆陣による実践的MT本です。八木が共著で執筆しました。続きを読む

Web屋の本

Web屋の本

Web 2.0時代の企業サイトの構築・運用などの戦略を考える「Web屋の本」 (技術評論社)を、中野・安藤が執筆しました。続きを読む

新着はてブ

Loading

アーカイブ

応援しています

  • キッズ・セーバー
  • ソロモン・リリーフ ─ソロモン諸島を応援する有志による、震災復興支援プロジェクト─

    (終了しました)

RSS配信

 

サービスおよびソリューション一覧


最新情報・投稿をチェック


このページのトップに戻る

Photo by A is for Angie

Powered by Movable Type Pro 6.0.1