平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。
この度、弊社内でのセキュリティチェックの結果、「さくらのクラウド」のパブリックスタートアップスクリプトにて提供しております
・ownCloud
・Nextcloud
の2点のスクリプトにおきまして、正常なユーザ認証が行われていない状態においても特定のパスを指定することでアップロードされたファイルをWeb経由で閲覧を行うことが可能となる脆弱性があることが発覚いたしました。なお、スタートアップスクリプトの修正対応につきましてはすでに完了しております。
しかしながら、修正対応日以前より上記スタートアップスクリプトを適用し新規にサーバを作成いただいたお客様につきましては、現在も不具合が含まれる設定でownCloud、Nextcloudが動作している可能性がございます。そのため、以下の内容についてご確認いただき、該当するお客様につきましては大変お手数ですがサポートへのお問い合わせの上修正対応をお願いいたします。
不具合のある設定で動作している可能性のあるサーバ
スクリプト提供開始日より2021年5月18日までの期間中に「さくらのクラウド」で提供するパブリックスタートアップスクリプト
・ownCloud
・Nextcloud
のいずれかを適用して作成したサーバが対象となります。
こちらの条件で作成され現在も動作中のサーバをご利用の場合でも、ownCloudまたはNextcloudを恒久的に停止または削除などによりご利用いただいていない場合は影響ございません。ownCloud、Nextcloudが動作中であるかどうかは以下の手順でご確認いただけます。
・/var/www/html/owncloud または /var/www/html/nextcloud ディレクトリが存在し、PHPスクリプトファイル(末尾が”.php”のファイル)が含まれている。
・http://サーバIPアドレス/owncloud または http://サーバIPアドレス/nextcloud にブラウザでアクセスするとユーザ認証画面が表示される。
いずれの条件も満たしている場合はセキュリティ上の脆弱性を持っており、修正が必要となります。
不具合の内容
正規の認証を経ていない匿名ユーザについても、特定のファイルパスを指定することでアップロードしたファイルの読み取りが可能となっておりました。
※現在ご利用いただけるownCloud、Nextcloud各スタートアップスクリプトにつきましては修正対応を完了しており、同様の脆弱性は発生いたしません。
※弊社が作成したスタートアップスクリプトの不具合であり、ownCloud、Nextcloud自体の脆弱性によるものではございません。
不具合の修正方法
お手数ですが、サポートまでお問い合わせください。折り返し修正方法についてご案内させていただきます。また、すでにownCloud/Nextcloudをご利用いただいてないお客様につきましては、それぞれのアプリケーションのディレクトリ(/var/www/html/owncloud または /var/www/html/nextcloud)内のお客様データをバックアップの上削除いただくことでサービスを停止することが可能です。
ご利用のお客様には大変ご迷惑をおかけいたしましたことを深くお詫びいたします。
さくらインターネットでは、今後もよりよいサービスの提供が行えるよう、精一杯努めてまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。
