01/31
金曜日

Fail2ban にサービス運用妨害 (DoS) の脆弱性 カテゴリー:おしらせ

平素よりさくらインターネットをご利用いただき、誠にありがとうございます。

 

さくらのクラウドで提供しているアーカイブにインストールしているFail2banにサービス運用妨害(DoS)の脆弱性が発見されました。

 

攻撃者が脆弱な Fail2ban がインストールされたサーバに対して特殊なメールを送信することで、リモートから特定の IP アドレスをブロックするよう設定される可能性がございます。
特定の IP アドレスをブロックするよう設定されてしまった場合、該当サーバへのログイン、WEB サーバの停止、メールサーバ停止など利用しているサービスに問題が生じます。

 

詳細に関しましては、Japan Vulnerability Notes や CERT/CC 等の情報もご参照ください。

 

Fail2ban にサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU97877909/index.html
CERT/CC(Vulnerability Note VU#686662)
http://www.kb.cert.org/vuls/id/686662
CVE-2013-7176
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7176
CVE-2013-7177
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7177

 

CentOS/Scientific Linux/Fedora をご利用のお客様

下記のコマンドを実行していただくことで対策済みのバージョンへアップデートすることが可能です。

  • # yum update fail2ban

 

Debian/Ubuntu をご利用のお客様

下記のコマンドを実行していただくことで対策済みのバージョンへアップデートすることが可能です。

  • # apt-get update
  • # apt-get upgrade

 

FreeBSD をご利用のお客様

下記のコマンドを実行していただくことで対策済みのバージョンへアップデートすることが可能です。

  • # pkg_update py-fail2ban

 

注意

本手順は無保証となります。お手数ではございますが、作業はお客様の責任にて実施いただきますようお願いいたします。お客様にて初期設定から設定をカスタマイズしている場合は上述のアップデート手順では正常にアップデートできないことがございますのでご注意ください。弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

 

今後ともさくらインターネットをよろしくお願いいたします。

 

01/30
木曜日

LVMのディスク修正のご報告 カテゴリー:おしらせ

平素よりさくらインターネットをご利用いただき、誠にありがとうございます。
さくらのクラウド第2ゾーンおきまして、LVMのディスク修正が正しく動作しない状態でございました。
ご利用中のお客様には大変ご迷惑をおかけいたしましたことを深くお詫び申し上げます。
 
このたびの障害はLVMのディスクにおいてOSの判定がうまくできていないことが原因でありました。
今後の動作チェックを徹底し、同様の問題が発生しないよう努めさせていただきます。
 
本機能は、ディスク内のOS設定ファイルを修正する機能ございます。
詳しい設定方法は「コントロールパネル 機能追加のお知らせ」のページの「ディスク修正機能 ネットワーク情報編集」を参照ください。
 
今後ともさくらインターネットをよろしくお願いいたします。
 

01/30
木曜日

Windows Serverのアーカイブを新仕様に更新しました カテゴリー:おしらせ

本日より、新たな仕様に更新したWindows Serverアーカイブの提供を開始しました。
 
今回の更新対象となるアーカイブは以下の各Windows Serverプラン用アーカイブとなります。
 

  • Windows Server 2008 R2
  • Windows Server 2012 R2
  • Windows Server 2008 R2 for RDS
  • Windows Server 2008 R2 for RDS(MS Office付)

 
今回の仕様変更により、以下のような新機能が追加されています。
 

virtio-net対応
(全Windows Serverプラン)		 準仮想化NICであるvirtio-netドライバがインストール済みです
※virtio-netへの変更方法についてはサーバの仮想NICに準仮想化ドライバ(virtio-net)が使用できるようになりましたの記事を参照してください
Firefoxプリインストール
(RDSプランのみ)		 WebブラウザのFirefoxがインストール済みです
Adobe Readerプリインストール
(RDSプランのみ)		 PDFビューワのAdobe Readerがインストール済みです
RDP音声再生対応
(RDSプランのみ)		 サーバ側の設定変更によりRDP接続時にクライアント側で音声が再生されるようになりました

 
※Windows Serverプランの詳細については、「Windows Serverプラン」のページを参照してください。

 

01/21
火曜日

サーバの仮想NICに準仮想化ドライバ(virtio-net)が使用できるようになりました カテゴリー:新機能

さくらのクラウドでは、幅広いOSで利用可能なIntel PRO/1000を標準仮想NICとして提供していましたが、本日より準仮想化ドライバ(virtio-net)への変更が可能となりました。これにより、virtio-netに対応したOSにおいては安定性や性能の向上、低CPU負荷といった効果が期待できます。
 
本機能は、サーバに「@virtio-net-pci」タグを付与することで有効化されます。詳しい設定方法は「特殊タグ一覧」のページを参照ください。
 
※パブリックアーカイブのWindows2008、Windows2012で作成したサーバはvirtio-netに非対応のため、タグを付与しないでください(virtio-net対応アーカイブは近日の公開を予定しています)。
 

参考: ベンチマーク結果

参考として、弊社にてベンチマークテストを行った結果を示します。e1000(Intel PRO/1000)デバイスを使用した場合とvirtio-netを使用した場合で、仮想コア数に応じたWebサーバの処理能力(request/sec)の比較をしています。
 
graph
 
※Webサーバのベンチマークツールであるweighttpにて計測しています。
※e1000と比較し、virtio-netの方が高負荷時の通信の安定性が良く、少ないコア数でも高いネットワーク処理性能が発揮できます。

 

01/16
木曜日

「ルータ+スイッチ」にIPv6アドレスが割り当てられるようになりました カテゴリー:新機能

本日より「ルータ+スイッチ」へのIPv6アドレス割り当て機能(ベータ版)の提供を開始しました。これにより「ルータ+スイッチ」配下にあるサーバに対してIPv6アドレス割り当てが可能となり、IPv6環境にネイティブ対応したサーバの構築が行えるようになります。
 
※現在はベータ版での提供となります。また、「ルータ+スイッチ」へのIPv6有効化操作は新コントロールパネルのみで操作できます。

IPv6アドレスの有効化手順

IPv6アドレス割り当て機能を利用するには「ルータ+スイッチ」が必要となります。コントロールパネル上部の「ネットワーク」メニューから「スイッチ一覧」画面を開き、IPv6アドレス割り当てを有効化したい「ルータ+スイッチ」をダブルクリックします。

ipv6_01a
 
「ルータ」タブをクリックすると、右下に「IPv6を有効にする」ボタンが表示されるので、これをクリックします。

ipv6_02a
 
IPv6アドレスが追加されると、「ルータ」タブ内に情報が表示されます。

ipv6_03a
 
※IPv6の割り当てを無効にしたい場合は「IPv6を無効にする」ボタンをクリックしてください
※逆引きDNS設定については現在未対応となります(近日中の対応を予定しています)

サーバへのIPv6アドレス設定

ここではCentOS6系のサーバを例に、IPv6アドレスの割り当て手順を簡単に紹介します。

1. /etc/sysconfig/networkの編集

/etc/sysconfig/networkファイルに以下の設定を記述し、IPv6機能を有効化します。
IPv6自動構成には非対応のため、IPV6_AUTOCONF変数には”no”を設定してください。

NETWORKING_IPV6=yes
IPV6_AUTOCONF=no

2. ネットワークデバイスへのIPv6アドレス設定

IPv6アドレスを割り当てたいインタフェースのネットワーク設定ファイル(/etc/sysconfig/network-scripts/ifcfg-eth0など)に、「ルータ」タブに表示された情報を元にIPv6ネットワーク設定を追記します。

IPV6INIT=yes
IPV6ADDR=2401:2500:xxxx:xxxx:xxxx:100/64
IPV6_DEFAULTGW=fe80::1%eth0

※「ルータ+スイッチ」1台につき使用可能なIPv6アドレスは、割り当てIPv6アドレスブロックの末尾64bitが0:0:0:4~ffff:ffff:ffff:ffffまでの範囲となります。

3. ネットワークサービスの再起動

ネットワークサービスを再起動し、設定を反映します。

# service network restart

4. 設定の確認

ifconfigで設定したデバイスにIPv6アドレス設定がされていることを確認します。

# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 9C:A3:BA:XX:XX:XX 
          inet addr:133.242.xxx.xxx  Bcast:133.242.xxx.255  Mask:255.255.255.240
          inet6 addr: fe80::9ea3:xxxx:xxxx:xxxx/64 Scope:Link
          inet6 addr: 2401:2500:xxxx:xxxx:xxxx:100/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:909 errors:0 dropped:0 overruns:0 frame:0
          TX packets:767 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:80485 (78.5 KiB)  TX bytes:134574 (131.4 KiB)

また、IPv6アドレスを持つ外部ホストに対してpingを送信し、疎通を確認します。

# ping6 research.sakura.ad.jp
PING research.sakura.ad.jp(2001:e40:100:406::100) 56 data bytes
64 bytes from 2001:e40:100:406::100: icmp_seq=1 ttl=57 time=22.2 ms
64 bytes from 2001:e40:100:406::100: icmp_seq=2 ttl=57 time=22.1 ms
64 bytes from 2001:e40:100:406::100: icmp_seq=3 ttl=57 time=21.3 ms
...

※詳しい設定方法については専門書籍等をご参照ください。

 

1 2