さくらのクラウドニュース

さくらのクラウドの最新情報や、開発に役立つ技術情報をお届けします。

おしらせ

Fail2ban にサービス運用妨害 (DoS) の脆弱性

平素よりさくらインターネットをご利用いただき、誠にありがとうございます。

 

さくらのクラウドで提供しているアーカイブにインストールしているFail2banにサービス運用妨害(DoS)の脆弱性が発見されました。

 

攻撃者が脆弱な Fail2ban がインストールされたサーバに対して特殊なメールを送信することで、リモートから特定の IP アドレスをブロックするよう設定される可能性がございます。
特定の IP アドレスをブロックするよう設定されてしまった場合、該当サーバへのログイン、WEB サーバの停止、メールサーバ停止など利用しているサービスに問題が生じます。

 

詳細に関しましては、Japan Vulnerability Notes や CERT/CC 等の情報もご参照ください。

 

Fail2ban にサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU97877909/index.html
CERT/CC(Vulnerability Note VU#686662)
http://www.kb.cert.org/vuls/id/686662
CVE-2013-7176
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7176
CVE-2013-7177
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7177

 

CentOS/Scientific Linux/Fedora をご利用のお客様

下記のコマンドを実行していただくことで対策済みのバージョンへアップデートすることが可能です。

  • # yum update fail2ban

 

Debian/Ubuntu をご利用のお客様

下記のコマンドを実行していただくことで対策済みのバージョンへアップデートすることが可能です。

  • # apt-get update
  • # apt-get upgrade

 

FreeBSD をご利用のお客様

下記のコマンドを実行していただくことで対策済みのバージョンへアップデートすることが可能です。

  • # pkg_update py-fail2ban

 

注意

本手順は無保証となります。お手数ではございますが、作業はお客様の責任にて実施いただきますようお願いいたします。お客様にて初期設定から設定をカスタマイズしている場合は上述のアップデート手順では正常にアップデートできないことがございますのでご注意ください。弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

 

今後ともさくらインターネットをよろしくお願いいたします。