Plesk の脆弱性に関する注意喚起(Plesk11)

この度、Plesk11を搭載したプランにおいて、重要なセキュリティの脆弱性情報を、
メーカーより提供されましたのでご案内致します。

■対象サービスプラン
当サービスでPlesk11を提供している以下サービスプランの一部

 ・クラウドサービス(Plesk搭載プラン)
 ・VPSサービス(EX-LITE, EX-SCALE ※いずれもPlesk搭載プラン)
 ・専用サーバーサービス(DS1, EX-DB ※いずれもPlesk搭載プラン)
 ・レンタルサーバサービス(RS1, RS2)

■脆弱性の概要
許可されないユーザに、ファイル「/etc/psa/private/secret_key」の内容への、
アクセス権を与える潜在的な脆弱性の存在が発見されました。

■危険性について
これを悪用するには、16 バイトのランダムなセキュリティ番号を特定するために、
現実的には確保することがほぼ不可能な大量の演算資源が必要になります。
従って、この脆弱性による脅威は非常に低いと通知されております。

■今後の対応について
メーカーより2014 年 4 月 29 日公開のマイクロアップデートにて、
この脆弱性を解消する予定であることが通知されました。

■お客様での作業について
レンタルサーバーサービス(RS1, RS2)をご利用のお客様は、
当サービスにてアップデートを実施致しますので作業は不要でございます。

その他サービスをご利用のお客様は、当社出荷状態ではPlesk11のアップデートの設定は、
自動でアップデートされるようになっておりますが、お客様にて無効化している場合には、
Pleskのアップデートを手動で行って頂くなどの必要がございます。

なお、当サービスではPleskのアップデートの際に、
「my.cnf」が初期化される事象を確認しておりますが、
お客様にて変更されている設定ファイルなどがございましたら、
事前にバックアップを取得するなどのご対応をお願いします。

 ・Plesk11のアップデートポリシーはどのようになっていますか?
 http://guide.flexserver.jp/help/flexs/qa/grp38/585#585

 ・my.cnfの編集をしても問題ないでしょうか?
 http://guide.flexserver.jp/help/flexs/qa/grp38/621#621

■メーカーの公式情報
 ・Parallels Plesk Panel for Linux 12.x、11.x:/etc/psa/private/secret_key が漏洩する潜在的脆弱性
 http://kb.parallels.com/en/121310/?show_at=jp