2014/9/26 19:30 (CST)作成

日頃ペガサスIDCをご利用いただきましてありがとうございます。

昨日(2014年9月25日夜より各報道機関で報道されているとおり、ほぼすべてのLinux/Unix環境において深刻な脆弱性が発見されました。弱性の危険度は最高レベルの「10」で「シェルショック」と名付けられています。対象範囲が広いため、さまざまな情報が出ておりますが、弊社では、ご利用・ご検討頂いておりますペガサスサーバーの場合に特化し、わかりにくい問題をわかりやすくご説明するべく、FAQ型式で、ご案内させていただきます。

本ページをご覧いただいても、対応方法がわからない、または操作がすぐにできない場合は、別途費用にて、弊社エンジニアによる対応をさせていただきますので、お電話または china@pegasus-idc.com までご連絡くださるようお願い申し上げます。

この脆弱性対処のための難易度は?

SSHによるリモートログインができるレベルの操作が必要です。

この脆弱性の問題点は?

・簡単に申しますと、特定の状況下で第三者がサーバーの中をみたり、改ざんすることができてしまいます。
・専門的に申しますと、リモートで任意のコマンドが実行できてしまう可能性があり、その結果、悪意のある第三者から、ファイルの破壊、削除、改ざん被害を受ける可能性があります。この脆弱性を利用した攻撃の難易度は技術的には高くなく、今後攻撃者が増えることが予想されています。

原因は?

・bashとよばれる、多くのUNIX系OSで標準的に使われているシェルに脆弱性があったため。
※シェル(殻)とはOSとアプリケーションの間に位置するものでユーザーからの命令を受け渡すOSとしての基本機能を提供するもので、基本機能なだけに、影響範囲が大きくなっています。

すぐさま攻撃を受けますか?

下記の項目に該当する場合はすでにこの脆弱性を利用した攻撃(ゼロデイ攻撃)が中国サーバー、香港サーバーに限らず、全世界で始まっていますので、早急な対応が必要です。

・Linuxサーバー利用
・ApacheなどのWebサーバーを利用
・CGI、PHP、Rubyなどの言語を使って、Bashやshシェルを通して、コマンドを実行する作りになっている場合

上記にあてはまるかわからない場合や、該当しない利用方法でもOSの基本機能の脆弱性であることから早急な対応をするべきと専門家が言っています。

対策できますか?

・既に各OSベンダー、コミュニティより脆弱性を修正するプログラムが配布されておりますので、それを適用することで対処可能です。

自分で対処するべき対象ユーザーは?

弊社サーバーご利用のお客様のうち、root権限付きのサービス(専用サーバー、VPSサーバー)をご利用のお客様は、フルマネージド契約ではないため、お客様にてご対応頂く必要がございます。具体的な対象ユーザー様は下記の通りです。

ご自身で対応の必要のあるお客様

・ペガサス香港VPSサーバー
→お客様で対応が必要

・ペガサス中国VPSサーバー
→お客様で対応が必要

・ペガサス香港専用サーバー(プライベートクラウドを含む)
→お客様で対応が必要

・ペガサス中国専用サーバー(プライベートクラウドを含む)
→お客様で対応が必要

ご自身で対応の必要のないお客様

・ペガサス香港共用サーバー 
 →弊社にて9/26対策済み(お客様による対応は不要)

・ペガサス中国共用サーバー 
 →弊社にて9/26対策済み(お客様による対応は不要)

・ペガサスエンタープライズメールサーバー
 →弊社にて9/27未明対策済み(お客様による対応は不要)

・ペガサスエンタープライズファイルサーバー
 →弊社にて9/27未明対策済み(お客様による対応は不要)

・ペガサス香港 アジアページ 
 →弊社にて9/27未明対策済み(お客様による対応は不要)

・ペガサス香港 ECパッケージ 
 →弊社にて9/26対策済み(お客様による対応は不要)

弊社で対応済・対応中のサービスをご利用のお客様は以下の対応は不要ですので引き続き安心してご利用頂ければ幸いです。対応が必要なお客様に関しては、下記のURLよりご確認頂きご対応頂きますようお願い申し上げます。

この脆弱性の対応方法は下記のURLに対応方法をまとめさせて頂きました。

Linuxサーバーご利用のお客様に対するbash脆弱性に関して緊急のお知らせ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://asia.pegasus-idc.com/info/cve-2014-6271andcve-2014-7169
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今後とも、ペガサスIDCを、何卒よろしくお願い申し上げます。

この文書に記載された情報は、論点についての発行時における Absolute Zero ltd. の見解です。 Absolute Zero ltd. は移り変わる市場の状況に対応する必要があるため、この見解は  Absolute Zero ltd.の確約であると解釈されるべきではなく、 Absolute Zero ltd. は発行日以後、本書に記載されたいかなる情報の正確性も保証できません。この文書は、情報提供のみを目的としています。この文書内の情報は、明示的にも暗 示的にも  Absolute Zero ltd. が保証するものではありません。