シックス・アパートは1月26日,同社のウェブログ・システム「Movable Type」日本語版に脆弱性(セキュリティ・ホール)が存在することを明らかにした。脆弱性を突かれると,Movable Typeをスパム(迷惑メール)の踏み台にされる可能性がある。影響を受けるのは,日本語版のすべてのバージョン(3.122を除く)とバージョン2.661以前の英語版。対策はパッチ(プラグイン)をインストールすること。
同社の情報によると,今回見つかったセキュリティ・ホールは,書き込むコメントに細工を施すと,Movable Typeを使って第三者が任意のメールを送れてしまうというもの。これを悪用すれば,Movable Typeが稼働するマシンを使ってスパムなどを送信できてしまう。
Movable Type日本語版についてはすべてのバージョン(3.122を除く)が影響を受ける。ただし,「メール通知」機能を有効にしていて,なおかつ「MailTransfer」を「sendmail」に設定している場合のみ影響を受ける(初期値はsendmail)。
対策は,同社が公開するプラグインを適用すること。Movable Typeの管理者はできるだけ早急に適用したい。なお,現在オンラインで提供している最新版のMovable Type日本語版バージョン3.122では,この脆弱性は修正しているという。
◎参考資料
◆【重要】 Movable Typeの脆弱性と対策について
(勝村 幸博=IT Pro)
