glibc の脆弱性 (CVE-2015-7547) に関する注意喚起

　平素は弊社サービスをご利用いただきましてありがとうございます。
　このたび、多くのLinux系OSで標準的に使われるライブラリ(プログラムを外部から利用できるようにした部品) の一つである「glibc」にリモートから任意のコマンドが実行される可能性のある脆弱性が公表されましたため、 問題の概要と弊社における対応について下記の通りご案内いたします。
　本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
　今後ともクララオンラインをどうぞ宜しくお願いいたします。

本脆弱性の適用作業では、OSやミドルウェアの再起動が必要な場合がございます。

問題の概要

　RedHat Enterprise Linux もしくは CentOS に含まれる glibc パッケージをご利用のサーバにおいて、遠隔の第三者によってリモートから任意のコマンドが実行される可能性がございます。
　本脆弱性は、主だったパッケージに関しましては、リモートからの攻撃の可能性は低いとのことでございますが、弊社では万全を期すためglibcのアップデート、アップデート後のサーバ再起動を推奨いたします。
　この脆弱性には、CVE 識別番号として CVE-2015-7547 が割り当てられています。

CVE-2015-7547

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7547

詳細に関しましては、以下の情報もご参照ください。

CVE-2015-7547 1293532: CVE-2015-7547 glibc: getaddrinfo stack-based buffer overflow

https://access.redhat.com/security/cve/CVE-2015-7547

USN-2900-1: GNU C Library vulnerability

http://www.ubuntu.com/usn/usn-2900-1/

Linux GNU Cライブラリの脆弱性：その概要と対応方法

http://blog.trendmicro.co.jp/archives/12868/

影響を受けるOSとサーバ

Linux系 OS を使用しているサーバが対象となります。
クララオンラインで主に提供しているOSは以下の通りです。

CentOS6 / RHEL6

CentOS7 / RHEL7

Ubuntu10.04 LTS

Ubuntu12.04 LTS

※詳細なバージョンに関しましては glibc のバージョン確認ページをご参照ください。
https://faq.clara.jp/index.php?solution_id=1315
※2016年2月22日現在の情報となります。
※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。
※CentOS5 / RHEL5におきましては本脆弱性の影響はございません。

対応策

　OS のディストリビュータである Red Hat 社および CentOS より、本脆弱性を修正した パッケージが提供されしだい、弊社にて glibc パッケージのアップデート作業を実施いたします。
なお、アップデート後、サーバの再起動が必要となりますが、こちらに関しましてはお客様にて実施していただきますようお願いいたします。

　弊社でのアップデート作業を待たずにお客様にて作業を実施していただくことも可能です。

お客様による glibc アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージを ダウンロードいただき、更新作業の実施が可能でございます。具体的な手順につきましてはお客様による glibc アップデート方法をご参照ください。

お客様による glibc アップデート方法

クララオンラインでの glibc アップデート作業

glibc パッケージ更新の流れは以下になりますので、ご確認ください。

1. パッケージ更新 ＜弊社作業＞

2016年2月25日（木）午前10時以降に弊社にて順次パッケージの更新を実施致します。

特に申請をいただく必要はございません。

実施時間はご指定いただけません。あらかじめご了承下さい。

アップデート後の再起動作業に関しましては、サーバの再起動方法のページをご参考に お客様にて実施していただきますようお願いいたします

弊社での作業実施を　■希望されない■　お客様は、 2016年2月25日(木)午前9時までに本メールの返信にてご連絡をお願い致します。

– 連絡先 security-updates@clara.ad.jp – 連絡項目 お客様番号： お客様名 ： ホスト名 ：  IPアドレス：  ご希望内容：  ※ご依頼はご登録担当者様よりお願いいたします。