セキュリティアップデート
日々発見・報告されている脆弱性情報を収集しています。危険と判断したものについては、回避処理のご案内と実施を行います。
脆弱性の情報は、総合的なインターネットセキュリティ対策の支援・指導を中立的な立場から行う組織「JPCERT/CC」を中心に収集しています。
セキュリティアップデート例
glibcの脆弱性
○脆弱性の概要
glibc ライブラリにはバッファオーバーフローの脆弱性 (CVE-2015-7547)が
あります。本脆弱性を使用された場合、遠隔の第三者によって、任意の
コードを実行されたり、サービス運用妨害 (DoS) 攻撃が行われたりする
などの可能性があります。
CVE-2015-7547
http://www.jpcert.or.jp/at/2016/at160009.html
○影響対象
glibc 2.9 およびそれ以降のバージョン
当社ホスティングサービスをご利用のお客様サーバにおいては、
Red Hat Enterprise Linux及びCentOS6系以上のサーバ全てが
対象となります。
※4系及び5系OSは脆弱性対象外です。
※Windows Serverは脆弱性対象外です。
○対策について
該当するパッケージglibcのアップデート及び、設定適用のためにサーバ再起動を行います。
利用しているアプリケーション再起動によって適用することは可能ですが、
glibcは数多くのアプリケーションで利用されており、その影響範囲から、
万全を期すため、当社としてはサーバ再起動による適用を強く推奨しています。
POODLE
○脆弱性の概要
POODLE(Padding Oracle On Downgraded Legacy Encryption)と名づけられた
当脆弱性を利用した攻撃では、SSL3.0を有効にしているサーバとの通信に
おいてパスワード等の重要情報やCookie情報が第三者に漏えいする可能性が
あります。
CVE-2014-3566
https://www.openssl.org/~bodo/ssl-poodle.pdf
参考情報
http://www.ipa.go.jp/security/announce/20141017-ssl.html
○影響対象
Linux及びWindows Serverにおいて、SSL3.0を有効にしてSSL通信を行っている
サービスが全て対象となります。
SSL3.0を利用したサービス(Apache等)を外部へ公開している場合は、
当脆弱性の影響を受ける可能性があります。
また、外部からアクセスできない場合は影響を受ける可能性は低いと
思われますが、下記対策を導入することを推奨しています。
○対策について
サーバ側のアプリケーションにてSSL3.0を無効化し、サーバを再起動します。
万全ではありませんが、関連する各サービスのみ再起動する方法もあります。
なお、SSL3.0は古くから使われている暗号化方式であり、無効化した場合に
SSL3.0しかサポートしていないような古いWEBブラウザ等で接続できなくなる
可能性があります。
(例:Windows XPでIE6を利用しているような環境や、各キャリアの
古い携帯電話に搭載されているWEBブラウザ等)
これらの事情により、お客様の利用状況によっては当対策の実施が困難な場合
もあります。
設定適用の際にサービス再起動が必要になりますので、作業希望時間も
承っております。