News

【重要】【さくらのVPS】「VENOM」脆弱性対応に伴うメンテナンス実施のお知らせ(5/20更新)

                                  5月20日更新
お客様各位
                         さくらインターネット株式会社

 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。

 先日、仮想化基盤システム「KVM」において、仮想サーバ内からの特定のコマンド実行
により、ホストサーバや、ホストサーバで動作する別の仮想サーバが不正操作される
可能性のある脆弱性が公表されました(※)。

 ※本脆弱性は「VENOM」と呼称され、仮想フロッピーディスクドライバの不具合を悪用
  することによりホストサーバや他の仮想サーバが不正操作されるものです。
  詳細はMITRE社による脆弱性喚起情報を参照下さい。

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456

 さくらのVPSでは仮想化基盤にKVMを採用しており、当脆弱性の影響を受ける可能性が
確認されたため、下記のメンテナンスを実施させていただくこととなりました。

 今回のメンテナンス対応におきましては、サービスをご利用いただいておりますお客
様各位にご迷惑をお掛けいたしますことを深くお詫び申し上げます。

 さくらインターネットでは、今後もよりよいサービスの提供が行えるよう、精一杯努
めて参ります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。

                  <記>

■「さくらのVPS」における当脆弱性への対応内容

  ▼メンテナンスの内容

   本日15:00までに、弊社側にてすべてのホストサーバに対する仮想化基盤パッケー
   ジのアップデート、およびパッチ適用による脆弱性対応済みバージョンへの更新
   作業が完了しておりますが、その後、VM(=お客様サーバ)への更新の適用には
   下記の作業が必要となります。

    ・すべてのホストサーバに収容している「VMの再起動」

     ※上記の作業を実施することで当脆弱性への対応が完了いたします。

  ▼「VMの再起動」の実施方法

   「VMの再起動」は、下記のいずれかの方法で実施する必要があります。

   ①弊社側の作業によってVMを再起動させていただく

    「2015年5月26日(火)」から順次、VMの再起動作業を実施させていただく予定
    です。

     ※VM再起動操作は収容されているホストサーバ単位での実施となり、収容環境
      により作業実施日が異なりますのでご留意ください。

     ※VMごとの詳細な作業実施日時につきましては、別途個別にメールにてご案内
      させていただきますので、今しばらくお待ちいただけますようお願いいたし
      ます。

   ②お客様ご自身でVMを再起動する

    弊社側でのVMの再起動作業の前に、お客様ご自身で下記の手順に沿ってVMを
    再起動いただくことも可能です。

     ※お客様ご自身でVMの再起動を実施いただいた場合は、該当のVMに対する弊社
      側での再起動作業は発生いたしません。

     ※これにより、お客様の任意のタイミングでのVMの再起動が可能となります
      ので、ご検討いただけますと幸いです。

    【VM再起動手順】
     下記のようなシャットダウンコマンド等を用いてVPSを一度停止してから起動
     することにより、脆弱性対応済みの環境の適用が完了します。

1. SSH等を使用しVPSサーバ上のOSにリモートログインする

2. シャットダウンコマンド(/sbin/shutdown -h now)等で
VPSサーバ上のOSをシャットダウンする

3. VPSコントロールパネルにログイン
https://secure.sakura.ad.jp/vps/

4. 「サーバ一覧」画面にて対象サーバを選択し、
「起動」ボタンでVPSサーバを起動する

■本件に関してよくいただく質問(FAQ)

Q: さくらのVPSサーバを shutdown -r now, reboot などで再起動をすれば対策完了
  しますか?
A: 再起動だけでは完了とはなりません。shutdown -h now, halt などでさくらのVPSの
  停止を行い、停止した後にVPSコントロールパネルから起動する必要があります。

Q: つい先日、VPSを起動したばかりです。停止・起動が必要ですか?
A: VPSコントロールパネルの操作履歴の「仮想サーバ起動」記録が 5/18 15:00 以降の
  場合、脆弱性の影響はありませんので不要です。

Q: 自分自身でさくらのVPSサーバを停止・起動しました。さくらインターネットでの
  再起動メンテナンスを希望しません。メンテナンスの対象から除外されるために
  連絡や手続きが必要ですか?
A: ご連絡不要です。VPSコントロールパネルの操作履歴にて、5/18 15:00 以降に
  「仮想サーバ起動」した記録があれば、自動的にメンテナンス対象から除外され
  ます。

Q: さくらのVPSサーバの停止・起動が終わりました。対策が完了したことはどのように
  確認できますか?
A: VPSコントロールパネルの操作履歴に、5/18 15:00以降に「仮想サーバ起動」の記録
  があることをご確認ください。

Q: 自分自身でさくらのVPSサーバの停止・起動を実施する場合、5/26よりも前に完了
  する必要がありますか?
A: 弊社が計画するもっとも早いメンテナンスは5/26ですが、ご利用のさくらのVPS
  サーバが対象となるメンテナンス日の1週間前までに再度メールにてご案内いた
  します。
  こちらのメールに記載されるメンテナンス日までであれば、お客様にて停止・起動が
  可能ですが、弊社としましてはお客様にて速やかな停止・起動されることをお勧め
  いたします。

Q: 自分でさくらのVPSサーバ再起動を計画しています。メンテナンス対象から除外して
  ください。
A: 除外ご希望の場合、メンテナンス予定日よりも前に再起動の実施をお願いいたします。

Q: 脆弱性対策のために、yum update などのアップデートが必要ですか?
A: さくらのVPSサーバにおけるVENOM脆弱性対策では、さくらのVPSサーバのOSアップ
  デートは不要です。しかしながらサービスを安全にお使いいただくために、定期的に
  アップデートを実施することを強くお勧めいたします。

Q: さくらのVPSサーバは現在使用しておらず、停止中です。対策する必要がありますか?
A: 必要ございません。次回のさくらのVPSサーバ起動操作時、対策完了した状態のさくら
  のVPSサーバが起動します。

Q: さくらインターネットでの再起動メンテナンスの実施を希望します。連絡や手続きは
  必要ですか?
A: ご連絡不要です。VPSコントロールパネルの操作履歴にて、5/18 15:00以降に「仮想
  サーバ起動」した記録がない場合、メンテナンスの対象となります。

Q: さくらインターネットの再起動メンテナンス予定について、日時の指定はできま
  すか?
A: 日時の指定は承っておりません。脆弱性対策が目的のためご理解をいただけます
  ようお願いいたします。

Q: さくらインターネットの再起動メンテナンスが完了したことはどのように確認でき
  ますか?
A: メンテナンス後、メンテナンス情報のウェブ告知の追記にて完了報告をさせて
  いただきます。
  【メンテナンス情報(さくらのVPS)】
   http://support.sakura.ad.jp/mainte/?service=vps

Q: さくらインターネットのメンテナンス予定日を過ぎましたが、さくらのVPSサーバの
  uptimeを見ると再起動が発生していません。メンテナンスは中止されたのでしょ
  うか?
A: 弊社のメンテナンスには「さくらのVPSサーバの再起動が必ず発生する」パターンと
  「さくらのVPSサーバの一時的な停止が発生するが再起動は発生しない」パターンの
  二種類があります。メンテナンス後、メールにて完了ご連絡を差し上げます。メール
  が届いていれば、メンテナンスは完了しております。

Q: さくらインターネットのメンテナンス予定日を過ぎましたが、VPSコントロールパネル
  の操作履歴にメンテナンス予定日の「仮想サーバ起動」記録はありませんでした。
  メンテナンスは中止されたのでしょうか?
A: 弊社のメンテナンス作業は操作履歴に記録されません。
 

■本件に関するお問い合わせ
 メールアドレス:support@sakura.ad.jp