タナカ印刷のさとう

XMLRPC 経由で SQL インジェクションが発生する問題

0

タナカ印刷の佐藤と申します。
不明点があり教えて頂けるとありがたいです。

「[重要] 6.0.6、5.2.11、5.18 セキュリティアップデートの提供を開始」
という内容でシックスアパートさんからメールが来たのですが、
内容を確認すると
「XMLRPC 経由で SQL インジェクションが発生する問題」というものでした。

私はそもそも「XMLRPC 」を使っていないと思うので、
その機能を停止したり削除したり出来るのでしょうか。
XMLRPC 自体がどんな働きをするのかも、よく理解しておりません。

古いMT5などを利用していると一気にアップデートが難しいので、
回避策があればご教授いただきたいです。

よろしくお願いいたします。

返信(4)

| 返信する
  • 【Movable Type を安全に利用するためにできること | MovableType.jp】
    http://www.movabletype.jp/blog/secure_movable_type.html
    > 使わないCGIスクリプトの権限を変える
    これが参考になると思います。

    • kei344さん、ご返信ありがとうございました。
      このページは初めて拝見いたしました。

      私の該当箇所は下記でした。

      ----------
      XMLRPC 機能を利用していない
       mt-xmlrpc.cgi の実行権限を無くす
      ----------

      MTディレクトリ直下のcgiファイルだったんですね。
      とても良く理解できました!ありがとうございます!

  • >タナカ印刷のさとうさん
    こんにちは。

    XMLRPCが実行されなければ良いので、mt-xmlrpc.cgiに実行権限を与えないか、もしくはmt-xmlrpc.cgiをサーバーから削除すれば良いです。

    ちなみに、ブログツールでのXMLRPCは、外部ツールなどから記事を投稿したりする仕組みのことです。
    今で言うところのData APIの元祖的なものと言えます。

    • 壱さん、返信ありがとうございました。

      壱さんの文面を読んで、モバイルから投稿する時にXMLRPCを利用したことを思い出しました!

      XMLRPCの技術的な部分は分からないですが、用途についてはとても理解できました。
      今後はXMLRPCを利用しないと思うので、MTインストール時は削除していこうと思います。

返信する


カテゴリグループ

OpenID対応しています OpenIDについて