平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、Webminに対して重大かつ緊急性の高いセキュリティ脆弱性(CVE-2024-36450/CVE-2024-36453/CVE-2024-36451/CVE-2024-36452)が発表されましたため、弊社における対応について、下記の通りご案内いたします。
お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。
本件につきまして、ご不明な点等ございましたら、support@clara.ne.jp 宛てにお問合せください。
今後ともクララ株式会社をどうぞ宜しくお願い致します。
脆弱性(CVE-2024-36450/CVE-2024-36453/CVE-2024-36451/CVE-2024-36452)の影響を受けるWebminのバージョン
・CVE-2024-36450
Webmin 1.910より前のバージョン
・CVE-2024-36453
Webmin 1.970より前のバージョン
Usermin 1.820より前のバージョン
※Userminは弊社にてインストールは行っておりません。
・CVE-2024-36451、CVE-2024-36452
Webmin 2.003より前のバージョン
この脆弱性には、CVE 識別番号として CVE-2024-36450/CVE-2024-36453/
CVE-2024-36451/CVE-2024-36452 が割り当てられています。
詳細に関しましては、以下の情報もご参照ください。
・JVN#81442045 複数のWebmin製品における複数の脆弱性
https://jvn.jp/jp/JVN81442045/
脆弱性を悪用された際の影響
・当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2024-36450、CVE-2024-36453)
・権限を持たないユーザによって、コンソールセッションを乗っ取られる(CVE-2024-36451)
・当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2024-36452)
影響を受けるサーバ
Webminの該当バージョン(Webmin 2.003より前)がインストールされている以下OSが対象となります。
– Red Hat Enterprise Linux 5/6/7/8/9
– CentOS 5/6/7
– Alma Linux 8/9
– Rocky Linux 8/9
対応策
Webminの提供元より、本脆弱性を修正した パッケージが提供されましたので、弊社にて Webminパッケージのアップデート作業を実施いたします。
クララでアップデート作業を実施する対象のサービスは以下の通りです。
- Clara Cloud LG
- Clara Cloud Flex
- Clara Cloud NR
上記OSのうち、Alma Linux 8/9、Rocky Linux 8/9、Red Hat Enterprise Linux 8/9を利用のお客様。
※CentOS 4/5/6/7 Red Hat Enterprise Linux 4/5/6/7 のOSはサポートが終了しておりアップデートを行いません。早急に新OSへの移行をご検討ください。
※お客様にてサーバのパスワードの変更を行っていたり、ssh の port 番号の変更、rootユーザにてログインできない設定にされている場合など、弊社にてのアップデートが出来ないことがございますので、予めご了承ください。
弊社でのアップデート作業を待たずにお客様にて作業を実施していただくことも可能です。
対象サービス以外をご利用のお客様におかれましてはご利用のWebminのバージョンをご確認いただき、不正に利用されないよう対策をお願いいたします。
対象外のサービス
-Clara Cloud 専有プランご利用のお客様
-クラウドリセールサービス(AWSやAzure等のPublicCloud)をご利用のお客様
その他、対象かどうか不明であったり、対象外だが作業を依頼したいといったお客様におかれましてはsupport@clara.ne.jp宛てにお問合せください。