カテゴリー別アーカイブ: 脆弱性・セキュリティ情報

DNSサーバの「KSKロールオーバー」に関するお知らせ

DNSの一番上位の階層にある「ルートゾーン」の設定に対する、
DNSSECの電子署名鍵(KSK:Key Signing Key)の更新(ロールオーバー)として、
「KSKロールオーバー」が段階的に行われる予定となっております。

 ■参考情報
 ・KSKロールオーバーについて[一般社団法人日本ネットワークインフォメーションセンター]
 https://www.nic.ad.jp/ja/dns/ksk-rollover/

 ・ルートゾーンKSKロールオーバーによる影響とその確認方法について[株式会社日本レジストリサービス(JPRS)]
 https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html

当サービスのDNSにおいては調査の結果、
上記更新による影響を受けないことを確認しました。
よって、関連するメンテナンスは行いません。

【完了】【メンテナンス】VPSおよびWordPressホスティング メンテナンスのお知らせ(2017/08/23,08/24)

平素よりEX-CLOUDをご利用頂き誠にありがとうございます。

セキュリティ対策のため、下記複数の日程にてシステムメンテナンスを実施させていただきます。
なお、本メンテナンスはサーバーの再起動を伴うため、サービス断が発生いたします。

※対象契約や作業日時についてはご登録のメールアドレスに、
2017年7月21日に通知させていただいております。
複数台のサーバーを契約しているお客様については、サーバー毎に本メールを送信しております。

▼対象サービス
・クラウドVPS(HDDタイプ、SSDタイプいずれも対象)
・WordPressホスティング

■作業日時:
(1)2017年8月23日(水) 午前0時から午前8時(完了)
(2)2017年8月24日(木) 午前0時から午前8時(完了)
 ※サーバー毎に、作業日時が異なります。いずれかの日時で1回のみ作業を実施します。

■作業内容:システム及びセキュリティアップデート
■影響範囲:サーバー再起動により、上記作業日時内で最大30分程のサービス断が発生いたします
 また、上記メンテナンスと合わせまして新規契約のお申し込みやオプション、リソース追加のお申し込みが出来なくなります。
■注意事項:作業日時以前に、スケールアップおよびスケールダウンによって、
 サーバーの筐体移動(マイグレーション)を行った場合には、作業日時が変わる場合がございます。

期間中、大変ご迷惑をおかけいたしますが、ご理解の程お願い申し上げます。

BestWebSoft製 WordPress 用プラグインにおけるクロスサイトスクリプティングの脆弱性

WordPressで人気のプラグインの一種であるBestWebSoft製 複数のプラグインにおいて、クロスサイトスクリプティングの脆弱性が発表されました。

■JVN#24834813
複数の BestWebSoft 製 WordPress 用プラグインにおけるクロスサイトスクリプティングの脆弱性
 http://www.jpcert.or.jp/at/2017/at170006.html

エクスクラウドのWordPressホスティングでもセキュリティ対策の一環として、ログイン二重認証の実装をBestWebSoft製プラグイン『Captcha』を用いて実装しておりますが、『Captcha』は2017年4月14日に公開されておりますバージョン4.3.0以降では脆弱性の影響を受けないものとなります。

なお、WordPressホスティングではご契約時に最新バージョンのプラグインが適用されるようになっておりますが、2017年4月14日以前にご契約をされた環境はWordPress管理画面より手動でバージョンアップ作業が必要となっております。

コンテンツの改ざん被害の恐れがありますので、『Captcha』をご利用のお客様は、以下を参考にバージョンアップを行ってください。

■プラグインアップデート方法

WordPress管理画面 > プラグインメニューに『Captcha by BestWebSoft』があり、バージョンが4.3.0以前であれば更新のリンクからアップデートいただけます。

標準設定ではプラグイン更新時にkusanagiユーザーの認証情報が必要です。
入力する情報が不明の場合は以下ガイドも合わせて参照ください。

関連ガイド:プラグインやテーマを新規にインストール/削除したいのですが接続情報がわかりません

プラグインやテーマを新規にインストール/削除したいのですが接続情報がわかりません【WPH】

本脆弱性以外にも、脆弱性のあるプラグインを悪用されるケースや、 また簡易なパスワードを利用している場合に悪用されるケースも ございますので併せてセキュリティ対策をお願いします。

また、WordPressホスティングでは標準でWAFの提供も行っておりますので、まだお申し込みをされていないお客様はWAFの利用もご検討ください。

■WordPressホスティングやクラウドVPSのWAFはどういう仕組みが採用されますか【WPH】【VPS】
https://ex-cloud.jp/support/question/q-791

■オプションについて(申し込み方法)【WPH】
https://ex-cloud.jp/support/question/g-791#waf

 

WordPressの脆弱性について【注意喚起】

WordPress4.7.0 / 4.7.1のバージョンにおいて重大な脆弱性が発表されました。

コンテンツの改ざん被害の恐れがありますので、4.7.0 / 4.7.1バージョンのWordPress
をご利用のお客様は、1/26に修正された最新バージョン4.7.2への更新をお願い致します。

<<< JPCERT/CC Alert 2017-02-06 >>>
WordPress の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2017/at170006.html

■対象バージョン
WordPress 4.7.0 / 4.7.1

■脅威
遠隔の第三者によって,サーバ上でコンテンツを改ざんされる可能性がある.

■対策
○WordPress 4.7.2へ更新してください。

○WordPressを利用した検証環境がありましたら、同様に更新を行ってください。

○本脆弱性以外にも、脆弱性のあるプラグインを悪用されるケースや、
また簡易なパスワードを利用している場合に悪用されるケースも
ございますので併せてセキュリティ対策をお願いします。

■対策ができない場合
アプリケーションの設計等、対策を適用できない事情がある場合は、
WordPress にて REST API を使用しない、REST API に対するアクセスを制限するなど、
本脆弱性の影響を軽減することを御検討ください。
その場合、WordPress の動作変更を行う修正や、Web サーバの設定を変更する必要があります。

■ご参考URL
・(参考情報)WordPressのバージョンアップ方法【WPH】
https://ex-cloud.jp/support/question/g-795 
※「WordPressホスティングプラン」向けのガイドとなります。

・(参考情報)WordPressの脆弱性対策について (独立行政法人 情報通信研究機構)
http://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

・(参考情報)WordPress公式ブログ
https://ja.wordpress.org/news/

PHPMailerの脆弱性(CVE-2016-10033,CVE-2016-10045)について【注意喚起】

著名なCMSで多く採用されているライブラリのひとつである
PHPMailerの脆弱性(CVE-2016-10033,CVE-2016-10045)が発表されました。

攻撃を行うことにより、ウェブサーバの権限で任意のコードを
実行されるおそれがあるというものです。

◆PHPMailerについて

PHPMailerは、
 ・WordPress
 ・Drupal
 ・Joomla!
等のPHPアプリケーション、およびプラグインで利用される
ライブラリです。

個別にPHPMailerを導入して自作アプリケーションを
利用されている場合も、影響をうける恐れがあります。

◆脆弱性影響の有無について

PHPMailerのプログラムファイルがあったとしても、実際に
どのような使われ方かによって脆弱性の影響の有無が異なります。

WordPress開発者側は、「WordPress4.7、4.6、およびセキュアな
バージョンのWordPressを利用していて、WordPressの提供している
wp_mail()関数を正しい形で利用している限り、今回の影響を受けない」と
コメントしています。

さらに
「WordPress本体の利用方法とは異なる形で、プラグインや独自プログラムが
PHPMailerを利用していたり場合はその限りではない。
個別のプラグインに問題があれば、プラグインチームがプラグイン著作者に
連絡をとる」と続けています。

◆対策について

PHPMailerメールに関するアプリケーション、プラグインを
ご利用の方は各アプリケーション、プラグイン側の情報をそれぞれ
ご確認ください。

PHPMailerを利用した自作プログラムを作成されている方は、
プログラム配布元の情報を参照してください。

【WordPressについて】
WordPress 4.X をご利用の方について
2017年1月11日、4.7.1がリリースされていますので、アップデートを行ってください。
※WordPressに同梱されているライブラリについても
脆弱性のないものに更新されます。

旧サーバプラン(※)で、WordPress3.2未満をご利用の方は
サーバ環境の都合でWordPressのアップデートをすると
サイトが見えなくなるケースがございますので、アップデートは
お控えください。

(※)PHP5.1.6搭載の以下プラン
・START、FLEX、SECURE
・ADVANCE、EXPERT
・EX-SCALE、EX-DB(2012年9月以前出荷のもの)

「httpoxy」の脆弱性の対応について(CVE-2016-5385)

CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等)が発表されております。

▼参考情報:
 ・CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起
 https://www.jpcert.or.jp/at/2016/at160031.html

共用サービスについては、当社にて対応をさせていただきました。

▼当社で脆弱性対応するプラン(共用サーバ):
 現行プラン:レンタルサーバ Lite、Basic、Pro
 旧プラン:RS1、RS2、START、FLEX、SECURE、三冠王

▼お客様にて対応いただくサービス(仮想専用・専用サーバ):
 現行プラン:VPS、クラウド、専用サーバ
 旧プラン:EX-LITE、EX-SCALE、EX-DB、ADVANCE、EXPERT-EX
仮想専用/専用サーバをご利用の場合、お客様にて対応を行っていただきます。
ご利用の仮想専用・専用サーバの環境ごとの参考手順をご案内します。

CentOS5およびCentOS6
CentOS7
Ubuntu(各バージョン)

※事前にOSバージョンをご確認ください。確認方法は以下の通りです。
CentOSの場合 : # cat /etc/redhat-release
Ubuntuの場合 : # cat /etc/lsb-release

CentOS5およびCentOS6

以下コマンドにて確認・対応いただくことが可能です。

※ CentOS6のPlesk搭載プランについては、Pleskによる自動アップデートを有効にされている場合、
順次対応されますが、httpdのバージョンについては確認いただき、必要に応じてアップグレード作業もご対応ください。

1.現在のhttpdバージョンと、アップデート可能バージョンの確認
 【バージョン確認コマンド】
 # yum list installed | grep httpd
 → CentOS5の場合、2.2.3-91以下でしたらアップデートが必要です
 → CentOS6の場合、2.2.15-53以下でしたらアップデートが必要です

2.アップデート作業
 【アップデートコマンド】
 # yum update httpd

3.バージョン再確認
 【バージョン確認コマンド】
 # yum list installed | grep httpd
 → CentOS5の場合、2.2.3-92以上にアップデートされたことを確認します
 → CentOS6の場合、2.2.15-54以上にアップデートされたことを確認します

CentOS7

出荷状態で脆弱性対応がされておりますので対応不要です。

Ubuntu(各バージョン)

1.現在のhttpdバージョンと、アップデート可能バージョンの確認
【バージョン確認コマンド】
# dpkg -l apache2
 → Ubuntu12.04の場合、2.2.22-1ubuntu1.10以下でしたらアップデートが必要です
 → Ubuntu14.04の場合、2.4.7-1ubuntu4.1以下でしたらアップデートが必要です
 → Ubuntu16.04の場合、2.4.18-2ubuntu3下でしたらアップデートが必要です

2.アップデート作業
【事前準備コマンド】
# apt-get update

【アップデートコマンド】
# apt-get upgrade apache2

3.バージョン再確認
【バージョン確認コマンド】
# dpkg -l apache2
 → Ubuntu12.04の場合、2.2.22-1ubuntu1.11以上にアップデートされたことを確認します
 → Ubuntu14.04の場合、2.4.7-1ubuntu4.13以上にアップデートされたことを確認します
 → Ubuntu16.04の場合、2.4.18-2ubuntu3.1以上にアップデートされたことを確認します

以上、宜しくお願い致します。

【メンテナンス】「ImageMagick」の脆弱性の対応について

この度、WordPressやMovableTypeなどのCMSなどで利用されている、
「ImageMagick」に脆弱性が発表されました。

▼参考情報:
・ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
 https://www.jpcert.or.jp/at/2016/at160021.html

共用サービスについては、当社にて対応をさせていただきました。

▼対象サービス(共用サーバ):
 現行プラン:RSプラン
 旧プラン:STARTプラン、FLEXプラン、SECUREプラン、三冠王

なお、仮想専用/専用サーバをご利用のお客様には、
以下にて参考情報をお知らせ致しますので、お客様にて対応を行っていただきます。
 ※残念ながら詳細なサポートは行っておりません。

▼対象サービス(仮想専用・専用サーバ):
 現行プラン:クラウド、VPS、専用サーバ
 旧プラン:EX-LITE、EX-SCALE、EX-DB、ADVANCE、EXPERT-EX

■CentOS6のサーバの場合
ImageMagickをアップデートする。

 ・Important: ImageMagick security update
 http://rhn.redhat.com/errata/RHSA-2016-0726.html

■CentOS5のサーバの場合
設定ファイルの編集および該当ファイルを退避する。

 ・Is there a work around for RHEL 5 concerning the Imagemagic Security vulnerability
 http://www.imagemagick.org/discourse-server/viewtopic.php?t=29614&start=15

 ・「ImageMagick」の脆弱性、遠隔でのコード実行が可能に
 http://blog.trendmicro.co.jp/archives/13287

SSLv2.0 の脆弱性「DROWN」の対応について

この度、ウェブサーバにてSSLv2.0プロトコルが利用される場合等にエンドユーザの個人情報や機密情報に対する盗聴、漏えいにつながる脆弱性『Decrypting RSA with Obsolete and Weakened eNcryption(DROWN)』について発表されました。

『DROWN』脆弱性の概要

『Decrypting RSA with Obsolete and Weakened eNcryption(DROWN)』
(CVE-2016-0800、以下、当脆弱性)は、ウェブサーバにてSSLv2.0プロトコルが
利用可能な設定となっている場合、あるいはSSLv2.0プロトコルが利用可能な
ウェブサーバと同一の秘密鍵を他のメールサーバ等でも使用している場合、
中間者攻撃によってエンドユーザの個人情報や機密情報を盗聴、漏えいさせる
ことが可能になる脆弱性です。

共用サービスについては、当社にて対応を致しましたが、
当社サーバからメールを送った場合でも、送信先サーバが対応されていない場合は、
送信が出来ない可能性がございます。
その際は、送信先サーバの管理者により安全な鍵に更新するよう依頼してください。

▼対象サービス(共用サーバ):
 現行プラン:RSプラン
 旧プラン:STARTプラン、FLEXプラン、SECUREプラン、三冠王

なお、仮想専用/専用サーバをご利用のお客様には、
対応方法について別途メールにてご案内させていただきます。

▼対象サービス(仮想専用・専用サーバ):
 現行プラン:クラウド、VPS、専用サーバ
 旧プラン:EX-SCALE、EX-DB、ADVANCE、EXPERT-EX

▼参考情報:
・SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)
 http://jvn.jp/vu/JVNVU90617353/

Cライブラリ「glibc」の脆弱性の対応について CVE-2015-7547

このたび、Cライブラリglibcのバージョン2.9以降に関しまして脆弱性「CVE-2015-7547」が発表されました。

CentOS 6版に標準搭載されているglibcは、バージョン2.12が搭載されているため、脆弱性の対象となりますので、
お客様にて対策が必要となるプランは
『2016年2月19日より前に出荷された、CentOS 6版のクラウドプラン』
となります。

上記プランをご利用のお客様には、アップデート方法をメールにて別途ご案内差し上げます。
なお、CentOS 5については当社の標準でージョン2.5系(今回の脆弱性がないバージョン)が
インストールされておりますので、今回の脆弱性は該当しません。

脆弱性の概要については以下の記事等に掲載されております。
Linuxなどで利用する「glibc」に深刻な脆弱性 – コード実行のおそれ

※共用サーバについてはパッチ適応済みとなります

Cライブラリ「glibc」の脆弱性の対応について CVE-2015-0235

この度、サーバのOSなどで利用されている、Cライブラリ「glibc」に、
脆弱性が発見されましたので対応について案内致します。

 [参考情報 / 外部サイト]
 http://www.ipa.go.jp/security/announce/20150129-glibc.html
 http://japan.zdnet.com/article/35059585/

▼対象サービス(共用サーバ):
現行プラン:RSプラン
旧プラン:STARTプラン、FLEXプラン、SECUREプラン、三冠王

上記共用サーバについては、当サービスにて緊急の対応を致しました。

 作業日時:2015/1/28(水)から2015/1/30(金)
 影響範囲:5分程度のサービス断が発生しました。
  ※各サービス(ウェブ、メール、コントロールパネルの操作)への接続が出来ませんでした。

▼対象サービス(仮想専用・専用サーバ):
現行プラン:クラウド、VPS、専用サーバ
旧プラン:EX-SCALE、EX-DB、ADVANCE、EXPERT-EX

仮想専用/専用サーバーをご利用のお客様は、
対応手順をお客様にメールをさせて頂きましたので対応をお願いします。