2019.08.16
弊社提供のKUSANAGI with Cubeサービスで標準採用しておりますWebサーバ(HTTP/2 )の脆弱性(CVE-2019-9511, CVE-2019-9513, CVE-2019-9516,CVE-2019-10081, CVE-2019-9517, CVE-2019-10097)でサービス運用妨害 (DoS) 攻撃の公表がございました。
詳細につきましては、以下のURLをご参照ください。
HTTP/2 の実装に対するサービス運用妨害 (DoS) 攻撃手法-JVN-
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート-JVN-
nginx [nginx-announce] nginx security advisory (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516)
■脆弱性を受ける可能性が高いサービス名
KUSANAGI with Cubeサービスを利用している、かつWebサーバにnginxおよび、Apacheを動作させていているサーバ
(弊社ご開通時の標準Webサーバは、nginxとなります。KUSANAGI with Cubeサービス でApacheをご利用場合されている場合も本脆弱性の対象となります )
■脆弱性の影響を受けるバージョン
・nginx 1.9.5 から、nginx 1.17.2まで
・Apache HTTP Web Server 2.4.41 より前のバージョン(mod_http2モジュールを有効化されているサーバ)
なお、今回の脆弱性におきましては、 kusanagi関連のパッケージのアップデートをお勧めいたします。
お客様ご自身にてkusanagi関連のパッケージのアップデートをおこなう手順につきましては、以下のURLをご参照ください。
お客様による kusanagi 関連のパッケージのアップデート方法
お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業を実施させていただきます。なお、アップデート作業中につきましては、通常の場合は数秒程度Webサイトの表示が行えなくなりますのであらかじめご了承ください。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。
□ご依頼時のメールフォーマット
メールの件名:kusanagi のアップデート依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無(必要 or 不要)
※「必要」、「不要」のいづれかのご記載をいただきますようお願い致します。