お客様各位
さくらインターネット株式会社
平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。
先日、仮想マシンエミュレータ「QEMU」において、仮想サーバ内からの特定のコマン
ド実行により、ホストサーバや、ホストサーバで動作する別の仮想サーバが不正操作さ
れる可能性のある脆弱性(CVE-2015-5154)が公表されました。
さくらのVPSでは仮想マシンエミュレータにQEMUを採用しており、サービスの一部で
本脆弱性の影響を受ける可能性が確認されたため、下記のメンテナンスを実施させてい
ただくこととなりました。
今回のメンテナンス対応におきましては、サービスをご利用いただいておりますお客
様各位にご迷惑をお掛けいたしますことを深くお詫び申し上げます。
さくらインターネットでは、今後もよりよいサービスの提供が行えるよう、精一杯努
めて参ります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。
<記>
■メンテナンス対象
・さくらのVPS のうち、IPv4アドレスが【160.16.*.*】で始まるサーバ
※2014年11月27日以降にご契約をいただいたVPSが対象です。
※上記IPアドレス範囲以外のVPS、ならびに「さくらのクラウド」に本脆弱性の影響
はございません。
■「さくらのVPS」における本脆弱性への対応内容
▼メンテナンスの内容
8月3日11:00までに、弊社側にてすべてのホストサーバに対する仮想化基盤パッケー
ジのアップデート、およびパッチ適用による脆弱性対応済みバージョンへの更新作
業が完了しておりますが、その後、VM(=お客様サーバ)への更新の適用には下記
の作業が必要となります。
・すべてのホストサーバに収容している「VMの停止・起動」
※上記の作業を実施することで本脆弱性への対応が完了いたします。
▼「VMの停止・起動」の実施方法
「VMの停止・起動」は、下記のいずれかの方法で実施する必要があります。
①お客様ご自身でVMを停止・起動する
【VM停止・起動作業手順】
下記のようにシャットダウンコマンド等を用いてVPSを一度停止してから起動
することにより、脆弱性対応済みの環境の適用が完了します。
お客様の任意のタイミングでのVMの停止・起動実施が可能となりますので、
実施ご検討いただけますと幸いです。
1. SSH等を使用しVPSサーバ上のOSにリモートログインする
2. シャットダウンコマンド(/sbin/shutdown -h now)等でVPSサーバ上のOSを
シャットダウンする
3. VPSコントロールパネル( https://secure.sakura.ad.jp/vps/ )にログイン
4. 「サーバ一覧」画面にて対象サーバを選択し、起動」ボタンでVPSサーバを
起動する
②弊社側の作業にてVMを停止・起動させていただく
「2015年8月24日(月)」から順次、VMの停止・起動作業を実施させていただく予定
です。
※お客様ご自身でVMの停止・起動を実施いただいた場合は、該当のVMに対する弊
社側での停止・起動作業は発生いたしません。
※VM停止・起動作業は収容されているホストサーバ単位での実施となり、収容環境
により作業実施日が異なりますのでご留意ください。
※VMごとの詳細な作業実施日時につきましては、別途個別にメールにてご案内さ
せていただきますので、今しばらくお待ちいただけますようお願いいたします。
■本件に関してよくいただく質問(FAQ)
Q: さくらのVPSサーバを shutdown -r now, reboot などで再起動をすれば対策完了し
ますか?
A: 再起動だけでは完了とはなりません。shutdown -h now, halt などでさくらのVPSの
停止を行い、停止した後にVPSコントロールパネルから起動する必要があります。
Q: つい先日、VPSを起動したばかりです。停止・起動が必要ですか?
A: VPSコントロールパネルの操作履歴の「仮想サーバ起動」記録が8月3日11:00以降の
場合、脆弱性の影響はありませんので不要です。
Q: 自分自身でさくらのVPSサーバを停止・起動しました。さくらインターネットでの再
起動メンテナンスを希望しません。メンテナンスの対象から除外されるために連絡
や手続きが必要ですか?
A: ご連絡不要です。VPSコントロールパネルの操作履歴にて、8月3日11:00以降に「仮想
サーバ起動」した記録があれば、自動的にメンテナンス対象から除外されます。
Q: さくらのVPSサーバの停止・起動が終わりました。対策が完了したことはどのように
確認できますか?
A: VPSコントロールパネルの操作履歴に、8月3日11:00以降に「仮想サーバ起動」の記
録があることをご確認ください。
Q: 自分自身でさくらのVPSサーバの停止・起動を実施する場合、8月24日よりも前に完了
する必要がありますか?
A: 弊社が計画するもっとも早いメンテナンスは8月24日ですが、ご利用のさくらのVPS
サーバが対象となるメンテナンス日の1週間前までに再度メールにてご案内いたしま
す。こちらのメールに記載されるメンテナンス日までであれば、お客様にて停止・
起動が可能ですが、弊社としましてはお客様にて速やかな停止・起動されることを
お勧めいたします。
Q: 自分でさくらのVPSサーバ再起動を計画しています。メンテナンス対象から除外して
ください。
A: 除外ご希望の場合、メンテナンス予定日よりも前に再起動の実施をお願いいたします。
Q: 脆弱性対策のために、yum update などのアップデートが必要ですか?
A: この度の脆弱性対策では、さくらのVPSのOSアップデートは不要です。しかしながら
サービスを安全にお使いいただくために、定期的にアップデートを実施することを
強くお勧めいたします。
Q: さくらのVPSサーバは現在使用しておらず、停止中です。対策する必要がありますか?
A: 必要ございません。次回のさくらのVPSサーバ起動操作時、対策完了した状態のさくら
のVPSサーバが起動します。
Q: さくらインターネットでの再起動メンテナンスの実施を希望します。連絡や手続きは
必要ですか?
A: ご連絡不要です。VPSコントロールパネルの操作履歴にて、8月3日11:00以降に「仮想
サーバ起動」した記録がない場合、メンテナンスの対象となります。
Q: さくらインターネットの再起動メンテナンス予定について、日時の指定はできますか?
A: 日時の指定は承っておりません。脆弱性対策が目的のためご理解をいただけますよう
お願いいたします。
Q: さくらインターネットの再起動メンテナンスが完了したことはどのように確認できま
すか?
A: メンテナンス後、メンテナンス情報のウェブ告知の追記にて完了報告をさせていただ
きます。
【メンテナンス情報(さくらのVPS)】
http://support.sakura.ad.jp/mainte/?service=vps
Q: さくらインターネットのメンテナンス予定日を過ぎましたが、VPSコントロールパネ
ルの操作履歴にメンテナンス予定日の「仮想サーバ起動」記録はありませんでした。
メンテナンスは中止されたのでしょうか?
A: 弊社のメンテナンス作業は操作履歴に記録されません。
■本件に関するお問い合わせ
メールアドレス:support@sakura.ad.jp
News