カテゴリー別アーカイブ: 脆弱性・セキュリティ情報

CMS『Drupal』の脆弱性対策について

この度、コンテンツ管理システム (CMS) 「Drupal」において、
Webサイトの改ざんなどの恐れがある脆弱性が発見されました。

ご利用のお客様においては以下の参考情報・対応方法についてご確認くださいますよう
お願い申し上げます。

 ・[参考情報]Drupal の脆弱性に関する注意喚起[外部サイト]
 https://www.jpcert.or.jp/at/2014/at140042.html
 http://drupal.jp/PSA-2014-11-04

 ・[参考情報]Pleskのメーカー公開の情報[外部サイト]
 http://kb.sp.parallels.com/en/123357
 http://kb.sp.parallels.com/en/123358

概要:
Drupal 7.32 という脆弱性を対策したプログラムがリリースされておりますが、
旧バージョンが稼動している状態だとすでにデータベースやファイルシステム内
に不正なコードが仕込まれていたり権限が奪われている危険性があるため、以下
が推奨されています。

【対応方法】

A.2014年10月15日以前のデータベース、ウェブサイト全体のバックアップ
が存在している場合は、そのバックアップを戻してからDrupalのアップデートを
行うこと

B.Aのバックアップが存在しない場合は、データを再構築すること

ウェブサイトのバックアップについては通常、お客様ご自身で
設定されていない限り、取得できておりませんので、
B.についてご案内させていただきます。

■アプリケーションの削除と再インストール

RSシリーズのコントロールパネルや、Plesk11の
「アプリケーション」タブから、Drupalをインストールされた場合
(インストールガイドはこちら

1.管理画面からDrupalをアンインストールします

2.サーバにアップロードされているコンテンツを削除ください

3.管理画面からDrupalを再インストールします
→以前に設定されたパスワードとは異なる情報に変更して
再設定されることをお勧めいたします

4.Drupalのアップデートを行います 
その後、サイトの再構築を行います

Drupalをご自身でアップロードし、インストールした場合、
ウェブサイト内のファイル、データベースも削除します。
再度アップロードし、最新版をインストール後、
サイトの再構築を行ってください。

また、公式サイト等からインストールパッケージをダウンロードし、インストールされている
場合も同様に、Drupalの削除後、再インストールとアップデートが推奨されます。

SSL 3.0の脆弱性「POODLE」の対策について

この度、ホームページの閲覧時などで利用されている、
「SSL 3.0」に脆弱性が発見されましたので対応についてご案内致します。

●参考情報:
http://jvn.jp/vu/JVNVU98283300/
http://internet.watch.impress.co.jp/docs/news/20141015_671482.html

対処法はご契約プランによって内容が異なります。

▼対象サービス(共用サーバ):
現行プラン:RSプラン
旧プラン:STARTプラン、FLEXプラン、SECUREプラン、三冠王

共用サーバのプランにつきましては弊社にて順次対応を致します。
詳細は準備が出来ましたらお客様にメールをさせて頂きます。

▼対象サービス(仮想専用・専用サーバ):
現行プラン:クラウド、VPS、専用サーバ
旧プラン:EX-SCALE、EX-DB、ADVANCE、EXPERT-EX

仮想専用/専用サーバーをご利用のお客様は、
以下の参考情報などを確認の上、お客様にて対応をお願いします。

[対処方法に関する参考情報]
—————————————————
SSLを利用しているアプリケーションにおいて、
SSLv2 および SSLv3 を無効にする、又は、TLSv1.x 以外をすべて無効にする。

・httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566)
https://access.redhat.com/ja/solutions/1232613

・[Plesk] CVE-2014-3566:SSL 3.0 フォールバックを悪用する POODLE 攻撃
http://kb.odin.com/jp/123160
—————————————————

シェル「bash」の脆弱性対策について

この度、LinuxなどのUNIX系OSで標準的に使われている、
シェル「bash」に極めて重大な脆弱性が発見されましたので、
共用サービスについては、当社にて対応を致しました。

▼対象サービス:
RSプラン、旧プランSTARTプラン、FLEXプラン、SECUREプラン、三冠王

なお、仮想専用/専用サーバをご利用のお客様には、
対応方法について別途メールにてご案内させていただきます。

▼対象サービス:
クラウド、VPS、専用サーバー、旧プランEX-SCALE、EX-DB、ADVANCE、EXPERT-EX

▼参考情報:
 ・GNU bash の脆弱性に関する注意喚起
 https://www.jpcert.or.jp/at/2014/at140037.html

 ・「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
 http://www.itmedia.co.jp/enterprise/articles/1409/25/news042.html

 ・bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も
 http://www.itmedia.co.jp/enterprise/articles/1409/26/news059.html

OpenSSLにおける脆弱性対策について

2014年6月6日にOpenSSLにおいて新たな脆弱性が発見されました。

今回の脆弱性はOpenSSL全バージョンが対象となっており、
EX-CLOUD(旧プランEX-SCALE、ADVANCE、EX-EXPERT含む)をご利用のお客様も
アップデートが推奨されているものとなりますため、以下コマンドにてOpenSSLの
アップデートを実施いただくことを推奨いたします。

# yum update openssl

アップデート後は、apacheの再起動も行ってください。

# /etc/init.d/httpd restart

Plesk搭載の方は psaの再起動も行ってください。

# /etc/init.d/psa restart

アップデート後のバージョンが以下のバージョン以上になっているお客様は
セキュリティアップデート済みです。

■OpenSSLのバージョンの確認方法

# rpm -q openssl

・CentOS5のサービスをご利用のお客様の推奨バージョン
openssl-0.9.8e-27.el5_10.3

・CentOS6のサービスをご利用のお客様の推奨バージョン
openssl-1.0.1e-16.el6_5.14.x86_64

【脆弱性に関する参考情報】
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224

Plesk の脆弱性に関する注意喚起(Plesk11)

この度、Plesk11を搭載したプランにおいて、重要なセキュリティの脆弱性情報を、
メーカーより提供されましたのでご案内致します。

■対象サービスプラン
当サービスでPlesk11を提供している以下サービスプランの一部

 ・クラウドサービス(Plesk搭載プラン)
 ・VPSサービス(EX-LITE, EX-SCALE ※いずれもPlesk搭載プラン)
 ・専用サーバーサービス(DS1, EX-DB ※いずれもPlesk搭載プラン)
 ・レンタルサーバサービス(RS1, RS2)

■脆弱性の概要
許可されないユーザに、ファイル「/etc/psa/private/secret_key」の内容への、
アクセス権を与える潜在的な脆弱性の存在が発見されました。

■危険性について
これを悪用するには、16 バイトのランダムなセキュリティ番号を特定するために、
現実的には確保することがほぼ不可能な大量の演算資源が必要になります。
従って、この脆弱性による脅威は非常に低いと通知されております。

■今後の対応について
メーカーより2014 年 4 月 29 日公開のマイクロアップデートにて、
この脆弱性を解消する予定であることが通知されました。

■お客様での作業について
レンタルサーバーサービス(RS1, RS2)をご利用のお客様は、
当サービスにてアップデートを実施致しますので作業は不要でございます。

その他サービスをご利用のお客様は、当社出荷状態ではPlesk11のアップデートの設定は、
自動でアップデートされるようになっておりますが、お客様にて無効化している場合には、
Pleskのアップデートを手動で行って頂くなどの必要がございます。

なお、当サービスではPleskのアップデートの際に、
「my.cnf」が初期化される事象を確認しておりますが、
お客様にて変更されている設定ファイルなどがございましたら、
事前にバックアップを取得するなどのご対応をお願いします。

 ・Plesk11のアップデートポリシーはどのようになっていますか?
 http://guide.flexserver.jp/help/flexs/qa/grp38/585#585

 ・my.cnfの編集をしても問題ないでしょうか?
 http://guide.flexserver.jp/help/flexs/qa/grp38/621#621

■メーカーの公式情報
 ・Parallels Plesk Panel for Linux 12.x、11.x:/etc/psa/private/secret_key が漏洩する潜在的脆弱性
 http://kb.parallels.com/en/121310/?show_at=jp

OpenSSL の脆弱性に関する注意喚起

この度、OpenSSLの一部のバージョンにおいて、重大な脆弱性が発見されました。

この脆弱性により、システムのメモリ内の情報を第三者に閲覧され、秘密鍵などの重要な情報が漏えいする可能性がありますが、EX-CLOUD提供の各ホスティングプランに標準インストールされる
OpenSSLのバージョンは、脆弱性が含まれるバージョン以外のため、対象外となっております。

■影響を受けるバージョン
・OpenSSL 1.0.1 から1.0.1f
・OpenSSL 1.0.2-betaから1.0.2-beta1

なお、お客様が独自にアップデートされている場合(※)は、対象バージョンの可能性がございますので、脆弱性に対するセキュリティアップデート済みの最新版OpenSSL 1.0.1gへのアップグレードを行ってください。

※クラウド、EX-SCALE、EX-LITE、EX-DB、ADVANCE、EXPERTプランのお客様がroot権限にてOpenSSLのアップデート作業を行っている場合に限定されます。共用サーバプランのお客様はすべて、
本注意喚起の対象外となります。

■OpenSSLのバージョンの確認方法
以下コマンドにて確認いただけます。
# openssl version

【参考情報】
・Japan Vulnerability Notes(JVN)
 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 
 http://jvn.jp/vu/JVNVU94401838/index.html

・JPCERTコーディネーションセンター(JPCERT/CC)
 OpenSSL の脆弱性に関する注意喚起 
 https://www.jpcert.or.jp/at/2014/at140013.html

・OpenSSL Project
 https://www.openssl.org/

・The Heartbleed Bug
 http://heartbleed.com/

PLESK9、および10系に関するセキュリティ脆弱性のご報告

いつもご利用ありがとうございます。
livedoor レンタルサーバ テクニカルサポートセンターでございます。

PLESK9、および10系に関するセキュリティ脆弱性に関するご連絡をさせ
ていただきます。

緊急度の高い内容を含みますので、該当のお客様は至急ご確認いただき
ますようお願いいたします。

昨日、11/10 にPLESKを提供しているパラレルス社より、PLESK9系および
最新のPLESK10系におけるFTPデーモン「ProFTPD」に関する脆弱性の発表
がありました。

・パラレルス社の発表
FTPリモートコード実行の脆弱性について

弊社プランでは、管理ツールPLESKを標準もしくはオプションでご提供し
ておりますが、
サポートしているPLESKのバージョンは下記のとおりとなっております。
PLESK8.2/PLESK8.4/PLESK8.6

・PLESKのバージョンアップについて(弊社ガイド)
http://guide.flexserver.jp/help/flexs/qa/grp10/372#372

現在以下のプランをお使いで、独自に【PLESKのバージョンを9以上】に
アップデートしているお客様がいらっしゃいましたら、至急上記パラレ
ルス社のページの案内に従って対策を実施いただきますようお願いいた
します。

【対象プラン】
・ADVANCE-LIGHT
・ADVANCE-FAST
・EXPERT-EX
・EXSCALE(PLESKオプションありの場合)

また前述の通り、弊社でサポートしているPLESKのバージョンは8.6まで
となっております。
バージョンアップされた場合にはサポート対象外となってしまいますの
で十分ご注意いただきますようお願いいたします。

ご不明な点などございましたらサポートセンターまでお知らせください。
よろしくお願いいたします。