5月14日17:05更新
5月14日18:55更新
5月15日10:00更新
5月15日11:30更新
5月15日18:10更新
お客様各位
さくらインターネット株式会社
平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。
2015年5月13日、CVE-2015-3456(VENOM)という脆弱性情報が発表されました。
▼Common Vulnerabilities and Exposures「CVE-2015-3456」
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
この脆弱性は、サーバの仮想化ハイパーバイザ KVM において発見されたもので、KVM
を用いたゲストVM(お客様のサーバ)において特定のコマンドを発行することにより、
ホストサーバ(弊社が管理するサーバ)に影響がおよぶ可能性があります。
▼対象サービス ※1
・さくらのVPS(全サーバ) ※2
・さくらのクラウド(全サーバおよびアプライアンス)
・さくらの専用サーバ ※3
・専用サーバ ※3
・専用サーバ Platform ※3
※1 確認の結果、さくらのレンタルサーバにつきましては、影響がない
ことが判明いたしました。
※2 5月14日時点では、バージョン「v3」および「v4」については影響は
ないと発表しておりましたが、その後の調査の結果、全サーバが影響を
受けることが判明いたしました。訂正しお詫び申し上げます。なお、
さくらのVPS for Windows Serverにつきましては影響はございません。
※3 下記の対象ディストリビューション以外は、影響はございません。
(対象ディストリビューション)
・RHEL 5/6/7
・CentOS 5(xen・kvm)/6/7
・Scientific Linux 6
・Debian 6/7
・Ubuntu 12.04/14.04
・XenServer 6.2.0/6.1.0/6.0.2/6.0
▼対応の概要
「さくらのVPS」「さくらのクラウド」につきましては、弊社にてパッチの適用お
よびアップデートを実施いたします。「さくらの専用サーバ」「専用サーバ」「専用
サーバ Platform」につきましては、お客様にて対策パッチの早急な適用をお願いい
たします。
詳細は下記をご参照ください。
さくらインターネットでは、今後もよりよいサービスの提供が行えるよう、精一杯努
めて参ります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。
<記>
■弊社にて対応するサービスおよび内容
▼対象サービス
・さくらのVPS(全サーバ) ※
・さくらのクラウド(全サーバおよびアプライアンス)
※5月14日時点では、バージョン「v3」および「v4」については影響は
ないと発表しておりましたが、その後の調査の結果、全サーバが影響を
受けることが判明いたしました。訂正しお詫び申し上げます。なお、
さくらのVPS for Windows Serverにつきましては影響はございません。
▼対応方法
・さくらのVPS(全サービス)
現在パッチの準備および動作検証を実施しています。現在のところ、
パッチの準備および検証には多少時間が必要となる見込みです。検
証が完了次第、アップデート作業を実施いたします。
アップデート作業の詳細つきましては、改めてお客様にお知らせ
いたしますので、続報をお待ちいただきますようお願い申し上げます。
→5月18日、アップデート作業および今後のメンテナンスに関する情報を
発表いたしました。詳細は、下記お知らせをご参照ください。
【重要】【さくらのVPS】「VENOM」脆弱性対応に伴うメンテナンス実施のお知らせ
http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1054
・さくらのクラウド(全サーバおよびアプライアンス)
現在、パッチの動作検証が完了し、引き続きアップデート作業の実施計画を策定
中です。アップデート作業においては、お客様サーバの再起動をお願いする予定
です。アップデート・メンテナンスの概要については、5月18日にお知らせいた
しますので、続報をお待ちいただきますようお願い申し上げます
→5月18日、アップデート作業および今後のメンテナンスに関する情報を発表
いたしました。詳細は、下記のクラウドニュースをご参照ください。
【重要】【さくらのクラウド】基盤システム脆弱性対応に伴う
サーバ・アプライアンス再起動のお願い
http://cloud-news.sakura.ad.jp/2015/05/18/venom-vulnerability/
■お客様にて対応が必要となるサービスおよび内容
▼対象サービス
下記のディストリビューションで仮想化環境を構築してサービスをご利用中のお客
様につきましては、下記対応をお願いいたします。なお、下記以外のディストリビュ
ーションにつきましては、本脆弱性の影響はございません。
・さくらの専用サーバ
・専用サーバ
・専用サーバPlatform
(対象ディストリビューション)
・RHEL 5/6/7
・CentOS 5(xen・kvm)/6/7
・Scientific Linux 6
・Debian 6/7
・Ubuntu 12.04/14.04
・XenServer 6.2.0/6.1.0/6.0.2/6.0
▼対応方法
利用しているOSの各ベンダーが提供するアドバイザリー情報をもとに、最新の
「QEMU」「KVM」または「Xen」パッケージにアップデートをお願いいたします。
※具体的な対策方法については、以下URLからご利用のバージョンにあわせた最新
パッケージの情報をご参照ください。
【RHEL 5/6/7】
https://access.redhat.com/ja/articles/1446873
【CentOS 7】
http://lists.centos.org/pipermail/centos-announce/2015-May/021137.html
【CentOS 6】
http://lists.centos.org/pipermail/centos-announce/2015-May/021136.html
【CentOS 5(xen)】
http://lists.centos.org/pipermail/centos-announce/2015-May/021135.html
【CentOS 5(kvm)】
http://lists.centos.org/pipermail/centos-announce/2015-May/021139.html
【Scientific Linux 6】
https://www.scientificlinux.org/sl-errata/slsa-20150998-1/
【Debian 6/7】
https://security-tracker.debian.org/tracker/CVE-2015-3456
【Ubuntu 12.04/14.04】
http://www.ubuntu.com/usn/usn-2608-1/
【XenServer 6.2.0/6.1.0/6.0.2/6.0】
http://support.citrix.com/article/CTX201078
■本件に関するお問い合わせ
メールアドレス:support@sakura.ad.jp
News