お客様各位
2015年1月6日
株式会社イーツ
【セキュリティ情報アナウンスメント】Linuxカーネルの脆弱性について
平素より、イーツに格別のご愛顧を賜り、誠にありがとうございます。
既に、一部報道でも伝えられていますように、多くのLinuxカーネルで発生する未割り当ての権限を不正に取得する脆弱性が報告されました。
[JVNDB-2014-007270(CVE-2014-9322)]
Linux Kernel の arch/x86/kernel/entry_64.S における権限を取得される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-007270.html
この脆弱性は、当初下記のサービス妨害の可能性として報告されておりましたが、更に権限取得に至る可能性が新たに指摘されたものです。
[JVNDB-2014-005708(CVE-2014-9090)]
Linux Kernel の arch/x86/kernel/traps.c 内の do_double_fault 関数におけるサービス運用妨害 (DoS) の脆弱性
脆弱性の対象は、x86_64用 Linux Kernel 3.17.5 未満となります。32bit版のカーネルは本件の対象外です。ご利用中のLinux環境が、32bit環境あるいは64bit環境かは、CentOSの場合、下記のコマンドにて確認いただけます。
>uname -m
x86_64
上記の結果の場合、64bit環境となります(表示がamd64等も同様です)。i386、i686等と表示された場合は、32bit環境になります。
本脆弱性の対応状況については、各ディストリビューション提供の最新情報をご参照下さい。なお、CentOS 6では、下記のように対応したupdateを既に提供している旨アナウンスしております。
https://www.centosblog.com/tags/centos-cve-2014-9322/
また、カーネルのupdateを行う際は、再起動が伴いますので、実施のタイミングについて、十分ご検討下さい。このupdateにより、他アプリケーションが正しく動作しなくなる可能性もございます。事前検証の実施を合わせて推奨します。
本脆弱性は、ログインアカウントを利用して発現する必要があります。カーネルのupdateが即時行えない場合は、外部からの不要な通信を適切に遮断し、別の脆弱性利用によるログインアカウント乗っ取り等の可能性を押さえる事や、不要なアカウントの削除、利用者が特定できないアカウントの排除等の厳密なアカウント管理も被害の抑止に繋がりますのでご検討下さい。
イーツでは、今後もクラウドサービスを中心とした高品質データセンタソリューションのラインナップを日々拡充し、より多くのお客様にご満足いくサービスの提供を目指してまいります。引き続き、変わらぬご愛顧を賜りますようお願い申し上げます。
※【セキュリティ情報アナウンスメント】について
本件は、イーツの提供する各種サービスをご利用のお客様に、セキュリティ注意喚起の為、各種脆弱性の情報等を公開するものです。本文にてご紹介するセキュリティ脆弱性等が、必ずしもお客様のシステムに該当する訳ではございません。内容をご確認の上、対応の必要性等をご検討頂けますようお願い致します。
サービス企画部 石黒
電話: 03-3207-1255
E-mail: info@i2ts.com
