SSL 3.0の脆弱性「POODLE」の対策について

この度、ホームページの閲覧時などで利用されている、
「SSL 3.0」に脆弱性が発見されましたので対応についてご案内致します。

●参考情報:
http://jvn.jp/vu/JVNVU98283300/
http://internet.watch.impress.co.jp/docs/news/20141015_671482.html

対処法はご契約プランによって内容が異なります。

▼対象サービス(共用サーバ):
現行プラン:RSプラン
旧プラン:STARTプラン、FLEXプラン、SECUREプラン、三冠王

共用サーバのプランにつきましては弊社にて順次対応を致します。
詳細は準備が出来ましたらお客様にメールをさせて頂きます。

▼対象サービス(仮想専用・専用サーバ):
現行プラン:クラウド、VPS、専用サーバ
旧プラン:EX-SCALE、EX-DB、ADVANCE、EXPERT-EX

仮想専用/専用サーバーをご利用のお客様は、
以下の参考情報などを確認の上、お客様にて対応をお願いします。

[対処方法に関する参考情報]
—————————————————
SSLを利用しているアプリケーションにおいて、
SSLv2 および SSLv3 を無効にする、又は、TLSv1.x 以外をすべて無効にする。

・httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566)
https://access.redhat.com/ja/solutions/1232613

・Nginx,Dovecot IMAP/POP3等における解決方法(英語)
http://kb.sp.parallels.com/en/123160
—————————————————

【メンテナンス】2014/10/16 クレジットカード決済システムメンテナンスのお知らせ

下記の日程にてクレジットカード決済システムのメンテナンスを実施致します。

■メンテナンス日時
2014年10月16日(木) 午前01:00から08:30

■影響範囲:すべてのオンライン決済取引
メンテナンス時間帯はクレジットカードによる決済をおこなえません。

ご迷惑をお掛けいたしますが、ご理解の程よろしくお願い申し上げます

(完了)【メンテナンス】2014/10/07 オンラインストアのリニューアル及び通知メールアドレス変更のお知らせ

下記の日程にてオンラインストアのリニューアルに伴うメンテナンスを実施致しました。

▼メンテナンス概要
作業日時:2014年10月07日(火) 12時から13時(24時間表記)
影響範囲:
メンテナンス完了までオンラインストアを閉鎖し、
ホスティングプラン等のご購入を一時停止させていただきました。
尚、お客様のご利用サーバーには影響はございません。

オンラインストアのリニューアルに伴い、
サービスの注文方法が変更となっておりますので、
以下ガイドをご参照の上、ご注文をお願いします。

 ・購入ガイド一覧
 http://ex-cloud.jp/support/service/purchase

▼当サービスからの通知メールアドレス変更
上記と合わせて、EX-CLOUDからお客様へメールをお送りする際に、
利用していたメールアドレスを以下の通り変更いたしました。

 (変更前)「***@flexserver.jp」
 (変更後)「***@ex-cloud.jp」
  ※(***はお知らせの内容により異なります)

メールアドレス変更後しばらくの間は、
お客様より「***@flexserver.jp」のメールアドレス宛に送信された場合でも、
弊社にてメールの確認が可能でございます。

なお、お客様にてパソコンなどのアドレス帳やメールソフトの振り分け設定等をご利用の場合は、
10月7日以降、新しいメールアドレスに設定変更をお願いいたします。

この度はご不便をお掛けいたしました。

シェル「bash」の脆弱性対策について

この度、LinuxなどのUNIX系OSで標準的に使われている、
シェル「bash」に極めて重大な脆弱性が発見されましたので、
共用サービスについては、当社にて対応を致しました。

▼対象サービス:
RSプラン、旧プランSTARTプラン、FLEXプラン、SECUREプラン、三冠王

なお、仮想専用/専用サーバをご利用のお客様には、
対応方法について別途メールにてご案内させていただきます。

▼対象サービス:
クラウド、VPS、専用サーバー、旧プランEX-SCALE、EX-DB、ADVANCE、EXPERT-EX

▼参考情報:
 ・GNU bash の脆弱性に関する注意喚起
 https://www.jpcert.or.jp/at/2014/at140037.html

 ・「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
 http://www.itmedia.co.jp/enterprise/articles/1409/25/news042.html

 ・bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も
 http://www.itmedia.co.jp/enterprise/articles/1409/26/news059.html

(完了)【緊急メンテナンス】2014/08/07 コントロールパネル、オンラインストア システム

以下の日時において、緊急メンテナンスを実施させていただきます。

▼メンテナンス概要

作業日時:
2014年08月07日(木) 午後5時から午後5時5分頃まで
影響範囲:
[コントロールパネル]
https://hspc.flxsrv.jp/cp/
メンテナンス完了まで契約やサーバ設定、DNSの情報変更(ネームサーバの切り替えやゾーン情報の追加等)を行うコントロールパネルのご利用が出来ませんでした。また、VPSプランについてはコントロールパネルからの再起動も行えませんでした。  
[オンラインストア]
https://store.flexserver.jp/
メンテナンス完了までオンラインストアを閉鎖し、ホスティングプラン等のご購入を一時停止させていただきました。

尚、お客様のメールやホームページ等のサービス領域に影響はございません。
VPSプランでPleskコントロールパネルを搭載しているプランにおけるPleskへの接続や、
SSH接続によるサーバの操作につきましても影響はございません。

大変ご不便をお掛けいたしまして、申し訳ございませんでした。

システムアップデートによるメンテナンスのお知らせ

EX-CLOUDで採用しているシステム全般に対して、セキュリティアップデートを含むメンテナンスを実施させていただきます。

本メンテナンスは対象範囲が広範囲となりますため、メンテナンス作業を数日に分けて実施いたしますが、複数のサーバをご契約いたいだいているお客様については対象サーバ毎にメンテナンス日時が異なる場合があります。

▼メンテナンス概要
作業日時:
2014年7月より順次
(対象のお客様にはメンテナンス日時が決まり次第、ご登録いただいております担当
者様へメールにてお知らせいたします)

作業内容:
安定稼働のため、セキュリティアップデートを含むメンテナンス及びシステム再起動

 

期間中、大変ご迷惑をおかけいたしますが、ご理解とご協力 の程お願い申し上げます。

(完了)【メンテナンス】2014/07/22 コントロールパネル、オンラインストア システムのアップデートを含むメンテナンスのお知らせ

コントロールパネル、オンラインストア システムのアップデートを含むメンテナンスが以下の通り完了しました。

▼メンテナンス概要

作業日時:
2014年07月22日(火) 午後10時から翌日23日(水)午前8時
  
影響範囲:
[コントロールパネル]
https://hspc.flxsrv.jp/cp/
メンテナンス完了まで契約やサーバ設定、DNSの情報変更(ネームサーバの切り替えやゾーン情報の追加等)を行うコントロールパネルのご利用が出来ません。
また、VPSプランについてはコントロールパネルからの再起動も行えなくなります。  
[オンラインストア]
https://store.flexserver.jp/
メンテナンス完了までオンラインストアを閉鎖し、ホスティングプラン等のご購入を一時停止させていただきます。

尚、お客様のメールやホームページ等のサービス領域に影響はございません。
VPSプランでPleskコントロールパネルを搭載しているプランにおけるPleskへの接続や、
SSH接続によるサーバの操作につきましても影響はございません。

大変ご不便をお掛けいたしますが、何卒ご理解頂けますようよろしくお願い申し上げます。

[障害復旧]コントロールパネルの高負荷による不具合のお知らせ

6/30より、コントロールパネルが稼働しているサーバにおいて、
高負荷が発生しておりましたが、復旧致しました。

▼対象サービス:
全サービス

▼日時
発生時刻:2014年6月30日(月) 11時30分頃
復旧時刻:2014年7月1日(火) 7時15分頃

▼影響範囲
コントロールパネルに関する操作に遅延等が発生しておりました。
※コントロールパネルログイン用のURL: https://hspc.flxsrv.jp/cp/

・コントロールパネルへのログインや、各種設定作業
・トラブルチケットの登録処理
・仮想専用サーバの再起動処理
・各種サービスのお申し込みの登録処理

尚、お客様のメールやホームページ等のサービス領域に影響はございません。
VPSプランでPleskコントロールパネルを搭載しているプランにおけるPleskへの接続や、
SSH接続によるサーバの操作につきましても影響はございませんでした。

大変ご不便をお掛けいたしまして、申し訳ございませんでした。

SSHのパスワード設定、および、SSHアクセス制限のお願い【CVE-2014-3153関連】

当社の全プランのLinuxカーネルにセキュリティ脆弱性が確認されました。

サーバ内にSSH(SCP、SFTP等も含みます)で一般ユーザでログインできてしまう
状態であれば、カーネル内のバグを利用することで、特権ユーザへの昇格が可能
になるというものです。

【仮想専用/専用サーバのお客様】
応急的かつ有効な措置として、
専用サーバのお客様については、以下の2点の対策をお願いいたします。

■SSHログイン可能なアカウントのパスワード強化
※予測しやすいパスワード、数字のみ、英字小文字のみ等は避け、8文字以上
の文字列、アカウント名やドメイン名と重複しないもので設定ください。

■Pleskのファイアウォール機能、もしくはiptables等でのSSHアクセス制限

Plesk8をご利用のお客様
ファイアウォールモジュールの設定【ADVANCE/EXPERT/Plesk8】

Plesk11をご利用のお客様
ファイヤウォール設定 【Plesk11】

※Plesk非搭載プランについてはコマンドでの操作となりますのでガイドは
ございません。

特定のセキュリティ脆弱性の有無にかかわらず、
SSHのアクセス制限についてはそれぞれのお客様のご利用状況に合わせ、
設定いただくことを推奨させていただきます。

【共用サーバのお客様】
対象プラン: RS、START、FLEX、SECURE、三冠王
共用サーバについてはSSHログイン(SCP、SFTPを含む)が
できないよう、SSHサービスを停止させていただきます。
お客様側での対策は不要です。

関連アナウンス:
Linux Kernel の kernel/futex.c の futex_requeue 関数における権限を取得される脆弱性

CU-2.6.32-042stab090.3 Parallels Virtuozzo Containers 4.7 Core Update

稼働中のサーバの管理サーバのカーネルアップグレードを行うことで、今回の脆弱性についての対策を行う方法もありますが、
すべてのサーバの再起動が必要となり、サービス影響が大きいことから、仮想専用・専用サーバのお客様には上述のSSHアクセス制限とパスワードの強化をお願いしております。

よろしくお願いいたします。

OpenSSLにおける脆弱性対策について

2014年6月6日にOpenSSLにおいて新たな脆弱性が発見されました。

今回の脆弱性はOpenSSL全バージョンが対象となっており、
EX-CLOUD(旧プランEX-SCALE、ADVANCE、EX-EXPERT含む)をご利用のお客様も
アップデートが推奨されているものとなりますため、以下コマンドにてOpenSSLの
アップデートを実施いただくことを推奨いたします。

# yum update openssl

アップデート後は、apacheの再起動も行ってください。

# /etc/init.d/httpd restart

Plesk搭載の方は psaの再起動も行ってください。

# /etc/init.d/psa restart

アップデート後のバージョンが以下のバージョン以上になっているお客様は
セキュリティアップデート済みです。

■OpenSSLのバージョンの確認方法

# rpm -q openssl

・CentOS5のサービスをご利用のお客様の推奨バージョン
openssl-0.9.8e-27.el5_10.3

・CentOS6のサービスをご利用のお客様の推奨バージョン
openssl-1.0.1e-16.el6_5.14.x86_64

【脆弱性に関する参考情報】
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224