お客様 各位
平素より、弊社サービスPitserv(ぴっとさ~ぶ)レンタルサーバ・サービスをご利用いただき、誠にありがとうございます。
2016年07月19日にJPCERTコーディネーションセンターより、CGI 等を利用するWebサーバ(Apache等)に下記の内容で脆弱性が発表されました。
▼JPCERTコーディネーションセンター
【httpoxy】脆弱性に関する注意喚起
http://jvn.jp/vu/JVNVU91485132/
■影響を受けるソフトウェア
各脆弱性の詳細は下記をご確認ください。
– PHP (CVE-2016-5385)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-003800.html
– GO (CVE-2016-5386)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-003801.html
– Apache HTTP Server (CVE-2016-5387)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-003802.html
– Apache Tomcat (CVE-2016-5388)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-003803.html
– HHVM (CVE-2016-1000109)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000109
– Python (CVE-2016-1000110)
https://access.redhat.com/security/cve/cve-2016-1000110
■脆弱性の影響
この脆弱性を利用すると、遠隔の第三者によって、プロクシサーバを経由する通信を盗み見ることや、
通信内容の改ざん等の中間者攻撃が可能となります。
■対策内容
当社では、標準インストールを行っているApacheの対策を、対象サーバにて実施致します。
対策済みのバージョンがリリースされている為、アップデートを実施致します。
※PHPにつきましても標準でインストールしておりますが、
対策パッチがリリースされておりませんでしたので、
パッチがリリースされ次第、検証を行いまして改めてご報告致します。
なお、Apacheのバージョンアップをする事で、
脆弱性の影響が大幅に改善される見込みです。
また、PROXYの設定がされていない限り、
脆弱性の影響は低いと判断しております。
(当社標準仕様では、PROXYの設定は行っておりません。)
■対象サーバ
下記OSバージョンをご利用頂いているWebサーバ
CentOS5
CentOS6
CentOS7
■対策実施期間
8月5日(金)~8月31日(水)
■アップデート作業によるサービス影響
HTTPサービスの再起動を実施致します為、
Webサービスの瞬断が発生致します。
何卒、よろしくお願い致します。
