カテゴリー別アーカイブ: 脆弱性・セキュリティ情報

PHPMailerの脆弱性(CVE-2016-10033,CVE-2016-10045)について【注意喚起】

著名なCMSで多く採用されているライブラリのひとつである
PHPMailerの脆弱性(CVE-2016-10033,CVE-2016-10045)が発表されました。

攻撃を行うことにより、ウェブサーバの権限で任意のコードを
実行されるおそれがあるというものです。

◆PHPMailerについて

PHPMailerは、
 ・WordPress
 ・Drupal
 ・Joomla!
等のPHPアプリケーション、およびプラグインで利用される
ライブラリです。

個別にPHPMailerを導入して自作アプリケーションを
利用されている場合も、影響をうける恐れがあります。

◆脆弱性影響の有無について

PHPMailerのプログラムファイルがあったとしても、実際に
どのような使われ方かによって脆弱性の影響の有無が異なります。

WordPress開発者側は、「WordPress4.7、4.6、およびセキュアな
バージョンのWordPressを利用していて、WordPressの提供している
wp_mail()関数を正しい形で利用している限り、今回の影響を受けない」と
コメントしています。

さらに
「WordPress本体の利用方法とは異なる形で、プラグインや独自プログラムが
PHPMailerを利用していたり場合はその限りではない。
個別のプラグインに問題があれば、プラグインチームがプラグイン著作者に
連絡をとる」と続けています。

◆対策について

PHPMailerメールに関するアプリケーション、プラグインを
ご利用の方は各アプリケーション、プラグイン側の情報をそれぞれ
ご確認ください。

PHPMailerを利用した自作プログラムを作成されている方は、
プログラム配布元の情報を参照してください。

【WordPressについて】
WordPress 4.X をご利用の方について
2017年1月11日、4.7.1がリリースされていますので、アップデートを行ってください。
※WordPressに同梱されているライブラリについても
脆弱性のないものに更新されます。

旧サーバプラン(※)で、WordPress3.2未満をご利用の方は
サーバ環境の都合でWordPressのアップデートをすると
サイトが見えなくなるケースがございますので、アップデートは
お控えください。

(※)PHP5.1.6搭載の以下プラン
・START、FLEX、SECURE
・ADVANCE、EXPERT
・EX-SCALE、EX-DB(2012年9月以前出荷のもの)

「httpoxy」の脆弱性の対応について(CVE-2016-5385)

CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等)が発表されております。

▼参考情報:
 ・CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起
 https://www.jpcert.or.jp/at/2016/at160031.html

共用サービスについては、当社にて対応をさせていただきました。

▼当社で脆弱性対応するプラン(共用サーバ):
 現行プラン:レンタルサーバ Lite、Basic、Pro
 旧プラン:RS1、RS2、START、FLEX、SECURE、三冠王

▼お客様にて対応いただくサービス(仮想専用・専用サーバ):
 現行プラン:VPS、クラウド、専用サーバ
 旧プラン:EX-LITE、EX-SCALE、EX-DB、ADVANCE、EXPERT-EX
仮想専用/専用サーバをご利用の場合、お客様にて対応を行っていただきます。
ご利用の仮想専用・専用サーバの環境ごとの参考手順をご案内します。

CentOS5およびCentOS6
CentOS7
Ubuntu(各バージョン)

※事前にOSバージョンをご確認ください。確認方法は以下の通りです。
CentOSの場合 : # cat /etc/redhat-release
Ubuntuの場合 : # cat /etc/lsb-release

CentOS5およびCentOS6

以下コマンドにて確認・対応いただくことが可能です。

※ CentOS6のPlesk搭載プランについては、Pleskによる自動アップデートを有効にされている場合、
順次対応されますが、httpdのバージョンについては確認いただき、必要に応じてアップグレード作業もご対応ください。

1.現在のhttpdバージョンと、アップデート可能バージョンの確認
 【バージョン確認コマンド】
 # yum list installed | grep httpd
 → CentOS5の場合、2.2.3-91以下でしたらアップデートが必要です
 → CentOS6の場合、2.2.15-53以下でしたらアップデートが必要です

2.アップデート作業
 【アップデートコマンド】
 # yum update httpd

3.バージョン再確認
 【バージョン確認コマンド】
 # yum list installed | grep httpd
 → CentOS5の場合、2.2.3-92以上にアップデートされたことを確認します
 → CentOS6の場合、2.2.15-54以上にアップデートされたことを確認します

CentOS7

出荷状態で脆弱性対応がされておりますので対応不要です。

Ubuntu(各バージョン)

1.現在のhttpdバージョンと、アップデート可能バージョンの確認
【バージョン確認コマンド】
# dpkg -l apache2
 → Ubuntu12.04の場合、2.2.22-1ubuntu1.10以下でしたらアップデートが必要です
 → Ubuntu14.04の場合、2.4.7-1ubuntu4.1以下でしたらアップデートが必要です
 → Ubuntu16.04の場合、2.4.18-2ubuntu3下でしたらアップデートが必要です

2.アップデート作業
【事前準備コマンド】
# apt-get update

【アップデートコマンド】
# apt-get upgrade apache2

3.バージョン再確認
【バージョン確認コマンド】
# dpkg -l apache2
 → Ubuntu12.04の場合、2.2.22-1ubuntu1.11以上にアップデートされたことを確認します
 → Ubuntu14.04の場合、2.4.7-1ubuntu4.13以上にアップデートされたことを確認します
 → Ubuntu16.04の場合、2.4.18-2ubuntu3.1以上にアップデートされたことを確認します

以上、宜しくお願い致します。

【メンテナンス】「ImageMagick」の脆弱性の対応について

この度、WordPressやMovableTypeなどのCMSなどで利用されている、
「ImageMagick」に脆弱性が発表されました。

▼参考情報:
・ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
 https://www.jpcert.or.jp/at/2016/at160021.html

共用サービスについては、当社にて対応をさせていただきました。

▼対象サービス(共用サーバ):
 現行プラン:RSプラン
 旧プラン:STARTプラン、FLEXプラン、SECUREプラン、三冠王

なお、仮想専用/専用サーバをご利用のお客様には、
以下にて参考情報をお知らせ致しますので、お客様にて対応を行っていただきます。
 ※残念ながら詳細なサポートは行っておりません。

▼対象サービス(仮想専用・専用サーバ):
 現行プラン:クラウド、VPS、専用サーバ
 旧プラン:EX-LITE、EX-SCALE、EX-DB、ADVANCE、EXPERT-EX

■CentOS6のサーバの場合
ImageMagickをアップデートする。

 ・Important: ImageMagick security update
 http://rhn.redhat.com/errata/RHSA-2016-0726.html

■CentOS5のサーバの場合
設定ファイルの編集および該当ファイルを退避する。

 ・Is there a work around for RHEL 5 concerning the Imagemagic Security vulnerability
 http://www.imagemagick.org/discourse-server/viewtopic.php?t=29614&start=15

 ・「ImageMagick」の脆弱性、遠隔でのコード実行が可能に
 http://blog.trendmicro.co.jp/archives/13287

SSLv2.0 の脆弱性「DROWN」の対応について

この度、ウェブサーバにてSSLv2.0プロトコルが利用される場合等にエンドユーザの個人情報や機密情報に対する盗聴、漏えいにつながる脆弱性『Decrypting RSA with Obsolete and Weakened eNcryption(DROWN)』について発表されました。

『DROWN』脆弱性の概要

『Decrypting RSA with Obsolete and Weakened eNcryption(DROWN)』
(CVE-2016-0800、以下、当脆弱性)は、ウェブサーバにてSSLv2.0プロトコルが
利用可能な設定となっている場合、あるいはSSLv2.0プロトコルが利用可能な
ウェブサーバと同一の秘密鍵を他のメールサーバ等でも使用している場合、
中間者攻撃によってエンドユーザの個人情報や機密情報を盗聴、漏えいさせる
ことが可能になる脆弱性です。

共用サービスについては、当社にて対応を致しましたが、
当社サーバからメールを送った場合でも、送信先サーバが対応されていない場合は、
送信が出来ない可能性がございます。
その際は、送信先サーバの管理者により安全な鍵に更新するよう依頼してください。

▼対象サービス(共用サーバ):
 現行プラン:RSプラン
 旧プラン:STARTプラン、FLEXプラン、SECUREプラン、三冠王

なお、仮想専用/専用サーバをご利用のお客様には、
対応方法について別途メールにてご案内させていただきます。

▼対象サービス(仮想専用・専用サーバ):
 現行プラン:クラウド、VPS、専用サーバ
 旧プラン:EX-SCALE、EX-DB、ADVANCE、EXPERT-EX

▼参考情報:
・SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)
 http://jvn.jp/vu/JVNVU90617353/

Cライブラリ「glibc」の脆弱性の対応について CVE-2015-7547

このたび、Cライブラリglibcのバージョン2.9以降に関しまして脆弱性「CVE-2015-7547」が発表されました。

CentOS 6版に標準搭載されているglibcは、バージョン2.12が搭載されているため、脆弱性の対象となりますので、
お客様にて対策が必要となるプランは
『2016年2月19日より前に出荷された、CentOS 6版のクラウドプラン』
となります。

上記プランをご利用のお客様には、アップデート方法をメールにて別途ご案内差し上げます。
なお、CentOS 5については当社の標準でージョン2.5系(今回の脆弱性がないバージョン)が
インストールされておりますので、今回の脆弱性は該当しません。

脆弱性の概要については以下の記事等に掲載されております。
Linuxなどで利用する「glibc」に深刻な脆弱性 – コード実行のおそれ

※共用サーバについてはパッチ適応済みとなります

Cライブラリ「glibc」の脆弱性の対応について CVE-2015-0235

この度、サーバのOSなどで利用されている、Cライブラリ「glibc」に、
脆弱性が発見されましたので対応について案内致します。

 [参考情報 / 外部サイト]
 http://www.ipa.go.jp/security/announce/20150129-glibc.html
 http://japan.zdnet.com/article/35059585/

▼対象サービス(共用サーバ):
現行プラン:RSプラン
旧プラン:STARTプラン、FLEXプラン、SECUREプラン、三冠王

上記共用サーバについては、当サービスにて緊急の対応を致しました。

 作業日時:2015/1/28(水)から2015/1/30(金)
 影響範囲:5分程度のサービス断が発生しました。
  ※各サービス(ウェブ、メール、コントロールパネルの操作)への接続が出来ませんでした。

▼対象サービス(仮想専用・専用サーバ):
現行プラン:クラウド、VPS、専用サーバ
旧プラン:EX-SCALE、EX-DB、ADVANCE、EXPERT-EX

仮想専用/専用サーバーをご利用のお客様は、
対応手順をお客様にメールをさせて頂きましたので対応をお願いします。

CMS『Drupal』の脆弱性対策について

この度、コンテンツ管理システム (CMS) 「Drupal」において、
Webサイトの改ざんなどの恐れがある脆弱性が発見されました。

ご利用のお客様においては以下の参考情報・対応方法についてご確認くださいますよう
お願い申し上げます。

 ・[参考情報]Drupal の脆弱性に関する注意喚起[外部サイト]
 https://www.jpcert.or.jp/at/2014/at140042.html
 http://drupal.jp/PSA-2014-11-04

 ・[参考情報]Pleskのメーカー公開の情報[外部サイト]
 http://kb.sp.parallels.com/en/123357
 http://kb.sp.parallels.com/en/123358

概要:
Drupal 7.32 という脆弱性を対策したプログラムがリリースされておりますが、
旧バージョンが稼動している状態だとすでにデータベースやファイルシステム内
に不正なコードが仕込まれていたり権限が奪われている危険性があるため、以下
が推奨されています。

【対応方法】

A.2014年10月15日以前のデータベース、ウェブサイト全体のバックアップ
が存在している場合は、そのバックアップを戻してからDrupalのアップデートを
行うこと

B.Aのバックアップが存在しない場合は、データを再構築すること

ウェブサイトのバックアップについては通常、お客様ご自身で
設定されていない限り、取得できておりませんので、
B.についてご案内させていただきます。

■アプリケーションの削除と再インストール

RSシリーズのコントロールパネルや、Plesk11の
「アプリケーション」タブから、Drupalをインストールされた場合
(インストールガイドはこちら

1.管理画面からDrupalをアンインストールします

2.サーバにアップロードされているコンテンツを削除ください

3.管理画面からDrupalを再インストールします
→以前に設定されたパスワードとは異なる情報に変更して
再設定されることをお勧めいたします

4.Drupalのアップデートを行います 
その後、サイトの再構築を行います

Drupalをご自身でアップロードし、インストールした場合、
ウェブサイト内のファイル、データベースも削除します。
再度アップロードし、最新版をインストール後、
サイトの再構築を行ってください。

また、公式サイト等からインストールパッケージをダウンロードし、インストールされている
場合も同様に、Drupalの削除後、再インストールとアップデートが推奨されます。

SSL 3.0の脆弱性「POODLE」の対策について

この度、ホームページの閲覧時などで利用されている、
「SSL 3.0」に脆弱性が発見されましたので対応についてご案内致します。

●参考情報:
http://jvn.jp/vu/JVNVU98283300/
http://internet.watch.impress.co.jp/docs/news/20141015_671482.html

対処法はご契約プランによって内容が異なります。

▼対象サービス(共用サーバ):
現行プラン:RSプラン
旧プラン:STARTプラン、FLEXプラン、SECUREプラン、三冠王

共用サーバのプランにつきましては弊社にて順次対応を致します。
詳細は準備が出来ましたらお客様にメールをさせて頂きます。

▼対象サービス(仮想専用・専用サーバ):
現行プラン:クラウド、VPS、専用サーバ
旧プラン:EX-SCALE、EX-DB、ADVANCE、EXPERT-EX

仮想専用/専用サーバーをご利用のお客様は、
以下の参考情報などを確認の上、お客様にて対応をお願いします。

[対処方法に関する参考情報]
—————————————————
SSLを利用しているアプリケーションにおいて、
SSLv2 および SSLv3 を無効にする、又は、TLSv1.x 以外をすべて無効にする。

・httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566)
https://access.redhat.com/ja/solutions/1232613

・[Plesk] CVE-2014-3566:SSL 3.0 フォールバックを悪用する POODLE 攻撃
http://kb.odin.com/jp/123160
—————————————————

シェル「bash」の脆弱性対策について

この度、LinuxなどのUNIX系OSで標準的に使われている、
シェル「bash」に極めて重大な脆弱性が発見されましたので、
共用サービスについては、当社にて対応を致しました。

▼対象サービス:
RSプラン、旧プランSTARTプラン、FLEXプラン、SECUREプラン、三冠王

なお、仮想専用/専用サーバをご利用のお客様には、
対応方法について別途メールにてご案内させていただきます。

▼対象サービス:
クラウド、VPS、専用サーバー、旧プランEX-SCALE、EX-DB、ADVANCE、EXPERT-EX

▼参考情報:
 ・GNU bash の脆弱性に関する注意喚起
 https://www.jpcert.or.jp/at/2014/at140037.html

 ・「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
 http://www.itmedia.co.jp/enterprise/articles/1409/25/news042.html

 ・bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も
 http://www.itmedia.co.jp/enterprise/articles/1409/26/news059.html

OpenSSLにおける脆弱性対策について

2014年6月6日にOpenSSLにおいて新たな脆弱性が発見されました。

今回の脆弱性はOpenSSL全バージョンが対象となっており、
EX-CLOUD(旧プランEX-SCALE、ADVANCE、EX-EXPERT含む)をご利用のお客様も
アップデートが推奨されているものとなりますため、以下コマンドにてOpenSSLの
アップデートを実施いただくことを推奨いたします。

# yum update openssl

アップデート後は、apacheの再起動も行ってください。

# /etc/init.d/httpd restart

Plesk搭載の方は psaの再起動も行ってください。

# /etc/init.d/psa restart

アップデート後のバージョンが以下のバージョン以上になっているお客様は
セキュリティアップデート済みです。

■OpenSSLのバージョンの確認方法

# rpm -q openssl

・CentOS5のサービスをご利用のお客様の推奨バージョン
openssl-0.9.8e-27.el5_10.3

・CentOS6のサービスをご利用のお客様の推奨バージョン
openssl-1.0.1e-16.el6_5.14.x86_64

【脆弱性に関する参考情報】
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224