2019年10月1日(火)

■問題の概要

平素は弊社サービスをご利用いただきましてありがとうございます。
弊社提供のFlex Mini Cubeサービス(Webminもしくは、コントロールパネルなし)、Flex Mini 2サービスWebminもしくは、コントロールパネルなし)で標準採用しております受信メールサーバ(Dovecot)の脆弱性(CVE-2019-11500)でサービス運用妨害 (DoS) 攻撃の公表がございました。いずれのサービスのコントロールパネル(Plesk)につきましては、今回の脆弱性の対象外となります。
詳細につきましては、以下のURLをご参照ください。

Dovecot および Pigeonhole における境界外書き込みに関する脆弱性
RedHat社のページ(CVE-2019-11500)

■脆弱性を受ける可能性が高いサービス名
Flex Mini Cubeサービス もしくは、Flex Mini 2サービスを利用している、かつ受信メールサーバにDovecotを動作させているサーバ
Flex Mini サービスも脆弱性の対象となりますが、OSサポート(CentOS5)が終了しているため修正パッチの提供はありません。早急にサーバのご移行をご検討ください。

■脆弱性の影響を受けるバージョン

  • Dovecot 2.2.36.4 未満
  • Dovecot 2.3.7.2 未満の 2.3.x

なお、今回の脆弱性におきましては、 Dovecot関連のパッケージのアップデートをお勧めいたします。
本ページでは、お客様ご自身にてDovecot関連のパッケージのアップデートをおこなう方法をご案内いたします。
※2019年10月1日現在の情報となります。

アップデートに関する注意事項

・本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
・お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
・本手順のアップデート中につきましては、通常の場合は数秒程度メールの受信が行えなくなりますのであらかじめご了承ください。

Dovecot 関連のパッケージのアップデート方法

(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。

(2). インストールされているパッケージの確認

#rpm -qa | grep dovecot

特に何も表示されない場合には、Dovecotのパッケージが入っておりません。脆弱性影響の対象外となります。
脆弱性の対象バージョンは以下のようなコマンドの出力結果となります。

例)
# rpm -qa | grep “dovecot”
dovecot-2.2.36-3.el7.x86_64  ←作業をおこなう必要がある対象バージョン

(3). Dovecot関連のパッケージアップデートの実施
以下のコマンドを実行し、KUSANAGI関連のパッケージのアップデートを行います。

#yum update dovecot


(4). アップデート後のパッケージバージョンの確認

#rpm -qa | grep dovecot


上記コマンドを再度実行し、セキュリティパッチが適用されているパッケージのバーション(以下の青文字を参照)かどうかを確認します。

■セキュリティパッチが適用されているDovecotのパッケージのバーション

Flex Mini 2サービス (CentOS6)         dovecot-2.0.9-22.el6_10.1.x86_64
Flex Mini Cubeサービス(CentOS7)   dovecot-2.2.36-3.el7_7.1.x86_64

(5). アップデート後のDovecotのサービス再起動

CentOS6の場合のDovecotのサービス再起動コマンド

#/etc/init.d/dovecot restart


CentOS7の場合のDovecotのサービス再起動コマンド

#systemctl restart dovecot


(7). メールの送受信の確認

以上、となります。

なお、お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業を実施させていただきます。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。

□メールのご依頼フォーマット
メールの件名:Dovecot のアップデート依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無(必要 or 不要)
※「必要」、「不要」のいずれかのご記載をいただきますようお願い致します。