サービス情報

クララオンライン|カスタマーサポート

ホーム > お知らせ一覧 > お知らせ記事

お知らせ

PHPの脆弱性 (CVE-2013-6420) に関する注意喚起

2013/12/20 (金) 更新

平素は弊社サービスをご利用いただきましてありがとうございます。

このたび、スクリプト言語である 「PHP」の一部のバージョン、リリースにおきまして、リモートから任意のコードが実行される可能性のある脆弱性が発見されましたため、問題の概要と弊社における対応について下記の通りご案内いたします。

お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。

本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

問題の概要

RedHat Enterprise Linux もしくは CentOS に含まれる php パッケージをご利用のサーバにおいて、遠隔の第三者によって任意のコードを実行される可能性がございます。

この脆弱性には、CVE 識別番号として CVE-2013-6420 が割り当てられています。


詳細に関しましては、Japan Vulnerability Notes 等の情報もご参照ください。

影響を受けるOSとサーバ

  • 本脆弱性は、PHP をインストールしているサーバすべてに影響するわけではございません

  • 本脆弱性の影響を受けるパッケージ
  • Red Hat Enterprise Linux 4 / CentOS 4 のサーバ
    php-4.3.9-3.37 未満のバージョンのパッケージ (*1)
  • Red Hat Enterprise Linux 5 / CentOS 5 のサーバ (*2)
    php-5.1.6-43.el5_10 未満のバージョンのパッケージ
  • Red Hat Enterprise Linux 6 / CentOS 6 のサーバ
    php-5.3.3-27.el6_5 未満のバージョンのパッケージ
  • Microsoft Windows のサーバ
    弊社サービス環境におきましては本脆弱性の影響はございません。

*1: Red Hat Enterprise Linux 4 をご利用で、ELS(有償延長サポート)を購入さ れた方にのみ、アップデートパッケージが提供されております。 CentOS 4 は、アップデートパッケージが提供されておりません。


*2: php53 パッケージにつきましてはphp53-5.3.3-22.el5_10 未満のパッケージが 本脆弱性の影響を受けます。
※こちらについては弊社標準構成ではご提供しておりませんので、弊社では作業を実施いたしません。

対応策

 OS のディストリビュータである Red Hat 社、ならびに CentOS Project より、本脆弱性を修正したパッケージが、CentOS 4を除き、提供されておりますので、php パッケージの更新をお勧めいたします。


※本脆弱性の影響があるかどうかを判別する方法

サーバに SSH でログインし、以下のコマンドを入力してください。

  • rpm -qa | egrep '^php'

特に何も表示されない場合には、php パッケージがインストールされておりま せんので、脆弱性の影響はございません。php から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。


PHP パッケージアップデート依頼方法
 本脆弱性については、アップデート方法がわからないお客様を対象に、弊社に てアップデート作業を無償で代行させていただきます。
◇ PHP パッケージアップデート (CVE-2013-6420) 依頼フォーム
https://support.clara.jp/contact/securityupdate.php

※ご依頼やお問い合わせは support@clara.ne.jp までご連絡いただきますようお願い申し上げます。

※作業時間は原則として弊社営業時間内 (平日10時~18時) とさせていただいております。 作業日・作業時間のご指定はいただけませんので、あらかじめご了承ください。
なお、PHPのアップデート作業に伴い、Web サーバの再起動が発生いたしますので、 数秒程度 Web サイトにアクセスできない場合がございます

※Web サーバの起動にパスフレーズが必要な場合は、アップデート代行対象外とさせていただきますので、お客様での対応をお願いいたします。