さくらのVPS平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。
この度「さくらのVPS」のスタートアップスクリプト機能として提供している「さくらインターネット公式スクリプト」で以下の2点におきまして、セキュリティ上の脆弱性が発覚いたしました。なお、スタートアップスクリプトの修正対応につきましてはすでに完了しております。
・ownCloud
・Nextcloud
しかしながら、弊社による修正対応日以前に上記スタートアップスクリプトを適用して新規サーバーを作成いただいたお客様につきましては、現在も不具合を持った設定で「ownCloud」「Nextcloud」が動作している可能性がございます。
そのため、以下の内容についてご確認いただき、該当するお客様につきましては大変お手数ですがサポートへお問い合わせの上、修正のご対応をお願いいたします。
本件の対象について
対象
以下の(1)(2)の双方に該当するデータ
(1)
2021年6月18日までにスタートアップスクリプト「ownCloud」を実行、または2020年6月29日までにスタートアップスクリプト「Nextcloud」を実行して、現在も「ownCloud」もしくは「Nextcloud」をご利用のさくらのVPS
(2)
「ownCloud」もしくは「Nextcloud」からアップロードしたデータおよび当該ソフトウェアで自動生成されるディレクトリにアップロードしたデータ
※(1)または(2)の片方のみに該当する場合は対象ではありません。
※現在対象アプリケーションを利用していない、既に設定変更を行っている場合はご対応いただく必要はございません。
影響
ご利用のサーバーに「ownCloud」もしくは「Nextcloud」がインストールされている場合、特定のファイルパスを指定することで正規の認証を経ず意図しない手段でデータを閲覧することが可能となります。
確認方法
以下のコマンド操作を実施することで、対象(1)に該当するか確認できます。
2.でログが表示される場合、かつ、3.で表示される日付が上記対象(1)に該当する場合は、今回の不具合の対象となります。
———————————————————————-
1. サーバにログインし、rootなどの管理者権限に移行します。以降、行頭「#」記載の行がお客様に入力いただくコマンドとなります。
2. スタートアップスクリプト「ownCloud」もしくは「Nextcloud」の実行ログを表示します。
# egrep -i 'owncloud|nextcloud' /root/.sakuravps/startup.log
3. 2.でログが表示された場合、ログの詳細からインストール日時を確認します。
# ls -alh /root/.sakuravps/startup.log
———————————————————————-
対処方法および意図しない手段での閲覧があったかを確認する方法
セキュリティ上の観点から、本お知らせ内でのご案内は控えさせていただきます。なにとぞご了承ください。
お手数をおかけしますが、以下サポートの「メールでのお問い合わせ」にご利用のスクリプト名と上記コマンド3.の実行結果を添えてお問い合わせください。
お客様に多大なるご迷惑をおかけいたしますことを深くお詫び申し上げます。
今後このようなことがないよう努めてまいりますので、何とぞご容赦賜りますようお願い申し上げます。
