平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。
2021年12月11日(土)および2021年12月14日(火)に一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)より、下記の脆弱性情報が発表されました。これらの脆弱性に対する当社の対応状況、およびお客さまへのお願い事項をお知らせいたします。
- CVE-2021-44228 (通称:Log4Shell)
任意のリモートコードを実行できるようになる(Remote Code Execution、RCE)脆弱性 - CVE-2021-45046
サービス運用妨害(Denial of Service、 DoS)脆弱性
なお本内容は2021年12月17日(金)時点の情報に基づき記載しており、以後は情報の更新が発生次第、本ページにてお知らせします。また、場合によっては、ご案内の内容に変更が生じる可能性がございます。あらかじめご了承ください。
概要
Javaで利用されるロギングライブラリのApache Log4jにて、任意のリモートコードを実行できるようになる脆弱性(CVE-2021-44228)および、サービス運用妨害脆弱性(CVE-2021-45046)が存在することが判明いたしました。本脆弱性を悪用することでサーバー外部から任意のコードを実行されるなどの影響があります。Apache Log4j の脆弱性について、詳しくは以下のリンク先を参考にご覧ください。
JPCERT/CC Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
当社サービスへの影響について
各サービスへの影響およびお客さまによる対応の要否は以下の通りです。
| サービス名 | サービス影響・対応状況※1 | お客さまによる対応 |
| さくらの専用サーバ | 影響なし | 必要 |
| さくらの専用サーバ PHY | 影響なし | 必要 |
| 高火力 | 影響なし | 必要 |
| さくらのクラウド | 影響なし | 必要 |
| さくらのクラウド マーケットプレイス |
影響なし | 必要 |
| さくらのVPS | 影響なし | 必要 |
| さくらのレンタルサーバ | 影響なし | 不要 |
| さくらのレンタルサーバ リセールサービス |
影響なし | 不要 |
| さくらのマネージドサーバ | 影響なし | 不要 |
| さくらのメールボックス | 影響なし | 不要 |
| さくらのIoT | 影響なし | 不要 |
| ImageFlux | 影響なし | 不要 |
| ドメイン・SSL | 影響なし | 不要 |
| ハウジング・リモートハウジング | 影響なし | 必要 |
| 会員メニュー | 影響なし | 不要 |
※1 当社にてすでに対策が完了しているサービスについても「影響なし」と記載しています。
お客さまによる対応が「必要」となっているサービスに関しましては、下記の内容を参考にお客さまご自身でご利用中のサーバーにインストールされているアプリケーションへの影響有無の確認および対応をお願いいたします。
さくらのVPS
スタートアップスクリプト「Minecraft Server(Java版)」に関するお知らせ
https://vps.sakura.ad.jp/news/startupscript-minecraft-java-update/
その他のサービス
Apache Log4jの任意のリモートコード実行の脆弱性 (CVE-2021-44228) に関するお願い
https://cloud-news.sakura.ad.jp/2021/12/13/apache-log4j-security-vulnerabilities/
本件に関するお問い合わせ
E-mail:support@sakura.ad.jp