news details

Polkit の脆弱性 (CVE-2021-4034) へのご対応のお願い

Polkit の脆弱性 (CVE-2021-4034) へのご対応のお願い

平素より弊社サービスをご利用頂きまして誠にありがとうございます。

LinuxOS内にインストールされている「Polkit(※)」において、一般ユーザーがサーバの管理者権限を
容易に取得できるという脆弱性が2022年1月25日に各機関より公表されております。

※Polkitとは主要なLinuxディストリビューションにデフォルトでインストールされるシステムの特権を
 制御するためのコンポーネントです。

本脆弱性を悪用した場合、コンピューターへのアクセス権限を持っている第三者が、
Linuxの一般ユーザー経由でシステムを意図的に改ざんさせることが可能です。

つきましては、弊社VPSサービスのご利用有無に関わらず、お客様のシステムでLinuxOSを使用されている
お客様につきましては、関連する情報の収集とともに、速やかに脆弱性に対応した最新バージョンに
切り替えていただくようお願いいたします。

弊社が提供しているサービス基盤におきましては、既に対処を実施済みでございますので、
安心しでご利用ください。

弊社VPSサービスをご利用中のお客様の中で、下記の条件をすべて満たすお客様におかれましては、
本脆弱性による攻撃を受ける可能性が高いため、速やかに対処を実施いただくようお願いいたします。

1.使えるクラウドVPSのLinuxタイプをご契約されている
 または 使えるクラウドでLinuxVPS(※1)を利用されている
2.サーバ内でLinuxの一般ユーザーを作成している。(rootユーザー以外のアカウントを作成している)
※1 Ubuntu、Debian、CentOSすべてのディストリビューションが対象となります。

また、弊社VPSサービスでLinux版Pleskをご利用中のお客様は上記の条件にほぼ必ず合致いたします。(※2)
そのため、本脆弱性の対処を実施いただくようお願いいたします。
※2 Plesk上でドメインおよびウェブサイトを追加する際、各ドメインの管理用にLinuxのユーザーが作成されるためです。

なお、上記の対処について、VPS内の管理原則はとしてお客様側で全て行なっていただく契約上、
本脆弱性の対処もは原則としてVPSのご契約者様側で行なっていただく必要がございます。
(おまかせマネージパックやプレミアサポートをご契約いただいているお客様はこの限りではございません。
詳細をご希望の方は、弊社サポート窓口までご連絡くださいませ。)

脆弱性の詳細につきましては、下記をご参考ください(外部サイト)
■pwnkit: Local Privilege Escalation in polkit's pkexec (CVE-2021-4034)
https://seclists.org/oss-sec/2022/q1/80

各Linuxディストリビューションの公開ページにて本件に関する修正は随時公開予定されています。

〇参考
Qualys
https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
--> Qualys社は、回避策として「pkexecのSUIDビットの削除」を紹介しています。

Red Hat
https://access.redhat.com/security/cve/CVE-2021-4034

Ubuntu
https://ubuntu.com/security/CVE-2021-4034

Debian
https://security-tracker.debian.org/tracker/CVE-2021-4034

SUSE
https://www.suse.com/security/cve/CVE-2021-4034.html


ご不明な点がございましたら、弊社サポートまでお問い合わせください。