News

【重要】VENOM(KVM・XenなどのQEMUの脆弱性)に関する対策について(5/15 18:10更新)

                               5月14日17:05更新
                               5月14日18:55更新
                               5月15日10:00更新
                               5月15日11:30更新
                               5月15日18:10更新
お客様各位
                         さくらインターネット株式会社

 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。

 2015年5月13日、CVE-2015-3456(VENOM)という脆弱性情報が発表されました。

 ▼Common Vulnerabilities and Exposures「CVE-2015-3456」
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456

 この脆弱性は、サーバの仮想化ハイパーバイザ KVM において発見されたもので、KVM
を用いたゲストVM(お客様のサーバ)において特定のコマンドを発行することにより、
ホストサーバ(弊社が管理するサーバ)に影響がおよぶ可能性があります。

 ▼対象サービス ※1
  ・さくらのVPS(全サーバ)  ※2
  ・さくらのクラウド(全サーバおよびアプライアンス)
  ・さくらの専用サーバ ※3
  ・専用サーバ ※3
  ・専用サーバ Platform ※3

  ※1 確認の結果、さくらのレンタルサーバにつきましては、影響がない
     ことが判明いたしました。
  ※2 5月14日時点では、バージョン「v3」および「v4」については影響は
     ないと発表しておりましたが、その後の調査の結果、全サーバが影響を
     受けることが判明いたしました。訂正しお詫び申し上げます。なお、
     さくらのVPS for Windows Serverにつきましては影響はございません。
  ※3 下記の対象ディストリビューション以外は、影響はございません。

    (対象ディストリビューション)
     ・RHEL 5/6/7
     ・CentOS 5(xen・kvm)/6/7
     ・Scientific Linux 6
     ・Debian 6/7
     ・Ubuntu 12.04/14.04
     ・XenServer 6.2.0/6.1.0/6.0.2/6.0

 ▼対応の概要
  「さくらのVPS」「さくらのクラウド」につきましては、弊社にてパッチの適用お
  よびアップデートを実施いたします。「さくらの専用サーバ」「専用サーバ」「専用
  サーバ Platform」につきましては、お客様にて対策パッチの早急な適用をお願いい
  たします。
  詳細は下記をご参照ください。

 さくらインターネットでは、今後もよりよいサービスの提供が行えるよう、精一杯努
めて参ります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。

                   <記>

■弊社にて対応するサービスおよび内容

 ▼対象サービス
  ・さくらのVPS(全サーバ) ※
  ・さくらのクラウド(全サーバおよびアプライアンス)

  ※5月14日時点では、バージョン「v3」および「v4」については影響は
   ないと発表しておりましたが、その後の調査の結果、全サーバが影響を
   受けることが判明いたしました。訂正しお詫び申し上げます。なお、
   さくらのVPS for Windows Serverにつきましては影響はございません。

 ▼対応方法
  ・さくらのVPS(全サービス)
   現在パッチの準備および動作検証を実施しています。現在のところ、
   パッチの準備および検証には多少時間が必要となる見込みです。検
   証が完了次第、アップデート作業を実施いたします。
   アップデート作業の詳細つきましては、改めてお客様にお知らせ
   いたしますので、続報をお待ちいただきますようお願い申し上げます。

   →5月18日、アップデート作業および今後のメンテナンスに関する情報を
    発表いたしました。詳細は、下記お知らせをご参照ください。
 
    【重要】【さくらのVPS】「VENOM」脆弱性対応に伴うメンテナンス実施のお知らせ
     http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1054

  ・さくらのクラウド(全サーバおよびアプライアンス)
   現在、パッチの動作検証が完了し、引き続きアップデート作業の実施計画を策定
   中です。アップデート作業においては、お客様サーバの再起動をお願いする予定
   です。アップデート・メンテナンスの概要については、5月18日にお知らせいた
   しますので、続報をお待ちいただきますようお願い申し上げます

   →5月18日、アップデート作業および今後のメンテナンスに関する情報を発表
    いたしました。詳細は、下記のクラウドニュースをご参照ください。
 
    【重要】【さくらのクラウド】基盤システム脆弱性対応に伴う
         サーバ・アプライアンス再起動のお願い
     http://cloud-news.sakura.ad.jp/2015/05/18/venom-vulnerability/

■お客様にて対応が必要となるサービスおよび内容

 ▼対象サービス
  下記のディストリビューションで仮想化環境を構築してサービスをご利用中のお客
  様につきましては、下記対応をお願いいたします。なお、下記以外のディストリビュ
  ーションにつきましては、本脆弱性の影響はございません。

  ・さくらの専用サーバ
  ・専用サーバ
  ・専用サーバPlatform

 (対象ディストリビューション)
  ・RHEL 5/6/7
  ・CentOS 5(xen・kvm)/6/7
  ・Scientific Linux 6
  ・Debian 6/7
  ・Ubuntu 12.04/14.04
  ・XenServer 6.2.0/6.1.0/6.0.2/6.0

 ▼対応方法
  利用しているOSの各ベンダーが提供するアドバイザリー情報をもとに、最新の
  「QEMU」「KVM」または「Xen」パッケージにアップデートをお願いいたします。
  ※具体的な対策方法については、以下URLからご利用のバージョンにあわせた最新
   パッケージの情報をご参照ください。

 【RHEL 5/6/7】
https://access.redhat.com/ja/articles/1446873
 【CentOS 7】
http://lists.centos.org/pipermail/centos-announce/2015-May/021137.html
 【CentOS 6】
http://lists.centos.org/pipermail/centos-announce/2015-May/021136.html
 【CentOS 5(xen)】
http://lists.centos.org/pipermail/centos-announce/2015-May/021135.html
 【CentOS 5(kvm)】
http://lists.centos.org/pipermail/centos-announce/2015-May/021139.html
 【Scientific Linux 6】
https://www.scientificlinux.org/sl-errata/slsa-20150998-1/
 【Debian 6/7】
https://security-tracker.debian.org/tracker/CVE-2015-3456
 【Ubuntu 12.04/14.04】
http://www.ubuntu.com/usn/usn-2608-1/
 【XenServer 6.2.0/6.1.0/6.0.2/6.0】
http://support.citrix.com/article/CTX201078

■本件に関するお問い合わせ
 メールアドレス:support@sakura.ad.jp