インフォメーション
この度 heteml(ヘテムル) では、標準ディスク容量を
これまでの【 42.195GB 】から【 118.6GB 】に大幅増量いたしました!
もちろん、容量アップ後も月額ご利用料金はそのままでご利用頂けます。
ますます快適になったヘテムルをぜひご活用ください!
また 118.6GB への容量アップを記念して、『ヘテムルいいハムキャンペーン』を
開催いたしております。(※ 当キャンペーンは終了しました。)
今後とも、heteml レンタルサーバーを、どうぞよろしくお願い致します。
平素はヘテムルをご利用いただき、誠にありがとうございます。
この度、WordPress.Org が提供するウェブログシステム
『 WordPress 』にて、2件の脆弱性の報告がございました。
ヘテムルでも『 WordPress 』をご利用いただいているユーザー様が多いため、
ご案内を差し上げております。
今回、脆弱性が確認された『 WordPress 』のバージョンは以下の通りです。
■脆弱性が存在するWordPress のバージョン
WordPress バージョン 3.1.1 未満のバージョン
■WordPress における脆弱性の詳細内容
1、WordPress におけるクロスサイトスクリプティングの脆弱性
2、WordPress の wp-includes/formatting.php におけるサービス運用妨害 (クラッシュ) の脆弱性
■WordPress における脆弱性の影響
1、クロスサイトスクリプティングの脆弱性により第三者により、任意の Web スクリプトまたは HTML を挿入される可能性
2、多数の再帰呼び出しを誘発する、巧妙に細工された URL を伴ったコメントを介して、サービス運用妨害 (クラッシュ) 状態にされる可能性
※WordPress とは
http://ja.wordpress.org/
脆弱性が存在する3.1.1 未満のバージョンをご利用のお客様は、バージョンアップをお願い申し上げます。
※2012/07/02 時点のWordPressの最新バージョンは3.4.1 です。
今後とも、ヘテムルをよろしくお願いいたします。
平素はヘテムルをご利用いただき、誠にありがとうございます。
この度、CMSシステムの『baserCMS』 にてバージョン1.6.15未満をご利用の場合、
脆弱性の報告がございました。
※baserCMS とは
http://basercms.net/
ヘテムルでも『 baserCMS 』をご利用いただいているユーザー様が多いため、
ご案内を差し上げております。
今回、脆弱性が確認された『 baserCMS 』のバージョンは以下の通りです。
■脆弱性が存在するbaserCMS のバージョン
baserCMS バージョン1.6.15未満のバージョン
■baserCMS における脆弱性の内容及び影響
セッション管理不備により他サイトのユーザーに管理者権限でログインされてしまう可能性
※baserCMS−セッション管理不備の脆弱性
http://basercms.net/security/1
脆弱性が存在するバージョンをご利用のお客様は、バージョンアップ
もしくはプログラムの修正をお願い申し上げます。
なお、ヘテムルの簡単インストールでご提供しております『 baserCMS 』は
バージョンアップが完了するまで一時的に停止をさせていただきます。
今後とも、ヘテムルをよろしくお願いいたします。
【2012/05/17 17:16 追記】
一時的に停止しておりました『 baserCMS 』の簡単インストールを
バージョン2.0.0にバージョンアップを行いまして提供を再開いたしました。
今後ともヘテムルをよろしくお願いいたします。
平素はヘテムルをご利用いただき、誠にありがとうございます。
ヘテムルでも提供をしておりますPHPのCGI版にて、
PHPページを表示する際のGETパラメーターに
「-(ハイフン)」で始まり、加えて「s(小文字のエス)」が付加した時に、
PHPのソースコードが表示されるという脆弱性の問題が生じております。
▼【php.net】脆弱性に対するバージョンアップ[英文](PHP 5.3.12 and PHP 5.4.2 Released!)
http://www.php.net/archive/2012.php#id2012-05-03-1
ヘテムルでは、緊急対応といたしまして、GETパラメーターに
「-(ハイフン)」で始まり、加えて「s(小文字のエス)」が含まれている場合、
PHPプログラムの処理を行わず403エラーを返すように対応をいたしました。
【脆弱性URL例】
http://example.heteml.jp/?-s
http://example.heteml.jp/example.php?ex=1234&-ism=0000
などのURLでアクセスした場合
【脆弱性対応前】
脆弱性によりPHPソースコードがブラウザ上に表示される
↓
【脆弱性対応後】
GETパラメーターが「「-(ハイフン)」で始まり、加えて「s(小文字のエス)」が含まれる場合は、
403エラーページを表示することでお客様のPHPソースコードが
閲覧されることを防いでおります。
※.htaccessにより.html等の拡張子でもPHPが動くように設定されている場合も同様に403エラーとなります。
※PHP4におきましては、本件の脆弱性は確認されておりません。
重要度の高い脆弱性の対応となりますため、緊急にて対応をさせていただきました。
本脆弱性に対して今後の対応で提供しておりますPHPのバージョンアップ等を
行う必要が発生する場合には、別途ご連絡を差し上げます。
何卒ご理解の程お願い申し上げます。
今後とも、ヘテムルをよろしくお願いいたします。
-----------------------------------------------------------
【2012/05/07(月) 12:40 追記】
先日のPHPに関する脆弱性に加え、新たに別の脆弱性が確認されたため、
以下ご案内させていただきます。
CGI版のPHP5.2及びPHP5.3におきまして、PHPページを
表示する際のGETパラメーターに、「-(ハイフン)」で始まり
加えて「d(小文字のディー)」が付加された際、PHP.iniの設定が
上書きされる脆弱性の問題が生じております。
▼【php.net】脆弱性に対するバージョンアップ
[英文](PHP 5.3.12 and 5.4.2 and the CGI flaw (CVE-2012-1823))
http://www.php.net/archive/2012.php#id2012-05-06-1
ヘテムルでは、緊急対応といたしまして、GETパラメーターに
「-(ハイフン)」で始まり、加えて「d(小文字のディー)」が
含まれている場合、PHPプログラムの処理を行わず403エラーを
返すように対応をいたしました。
【脆弱性対応前】
脆弱性によりPHP.iniの設定が上書きされる
↓
【脆弱性対応後】
GETパラメーターが「-(ハイフン)」で始まり、
加えて「d(小文字のディー)」が含まれる場合は、
403エラーページを表示することで、お客様のPHP.iniが上書きされることを
防いでおります。
※.htaccessにより.html等の拡張子でもPHPが動くように
設定されている場合も同様に403エラーとなります。
重要度の高い脆弱性の対応となりますため
緊急にて対応をさせていただきました。
本脆弱性に対して今後の対応で提供しておりますPHPの
バージョンアップ等を行う必要が発生する場合には
別途ご連絡を差し上げます。
何卒ご理解の程お願い申し上げます。
今後とも、ヘテムルをよろしくお願いいたします。
-----------------------------------------------------------
【2012/05/08(火) 10:36 追記】
先日のPHPに関する脆弱性に加え、新たなパターンの脆弱性が確認されたため、
以下ご案内させていただきます。
ヘテムルでも提供をしておりますPHPのCGI版にて、
PHPページを表示する際のGETパラメーターに
「+-(プラスハイフン)」で始まり、加えて「s(小文字のエス)」
または「d(小文字のディー)」が付加した時に、
PHPのソースコードが表示されるもしくは、PHP.iniの設定が
上書きされるという脆弱性の問題が生じておりました。
ヘテムルでは、緊急対応といたしまして、GETパラメーターに
「+-(プラスハイフン)」で始まり、加えて「s(小文字のエス)」
または「d(小文字のディー)」が含まれている場合、
PHPプログラムの処理を行わず403エラーを返すように対応をいたしました。
【脆弱性対応前】
脆弱性によりPHPソースコードがブラウザ上に表示される
またはPHP.iniの設定が上書きされる
↓
【脆弱性対応後】
GETパラメーターが「+-(プラスハイフン)」で始まり、
加えて「s(小文字のエス)」または「d(小文字のディー)」が含まれる場合は、
403エラーページを表示することで、お客様のPHPソースコードがブラウザ上に
表示されるまたはPHP.iniが上書きされることを防いでおります。
※.htaccessにより.html等の拡張子でもPHPが動くように
設定されている場合も同様に403エラーとなります。
重要度の高い脆弱性の対応となりますため、緊急にて対応をさせていただきました。
本脆弱性に対して今後の対応で提供しておりますPHPのバージョンアップ等を
行う必要が発生する場合には、別途ご連絡を差し上げます。
何卒ご理解の程お願い申し上げます。
今後とも、ヘテムルをよろしくお願いいたします。
-----------------------------------------------------------
【追記】
本脆弱性の対応をPHPのバージョンを下記の通り
2012年5月24日にバージョンアップすることにより、対応を完了しております。
■PHPのバージョンアップ内容
PHP5.3:5.3.10 → 5.3.13
PHP5.2:5.2.8 → 5.2.17
■該当のメンテナンス情報
【完了】PHPセキュリティ対策メンテナンスのお知らせ
メンテナンス等ご協力いただきましてありがとうございました。
今後とも、ヘテムルをよろしくお願いいたします。
平素はヘテムルをご利用いただき、誠にありがとうございます。
本日より2012年12月末まで、ヘテムルでは
株式会社モリサワ提供のクラウドフォントサービス『TypeSquare』が
無料にてご利用いただけます。
インターネットを介してフォントを配信しウェブブラウザで表示させる
クラウドフォントの仕組みにより、『TypeSquare』では
モリサワフォントをWebサイトなどで利用することができます。
モリサワフォントは、書体の美しさや可読性・視認性の高さから
多くの出版社や制作会社などに支持されているフォントですが
『TypeSquare』ならフォントの美しさはそのままにウェブサイトを作成できます。
>> 詳しくは《TypeSquare×ヘテムル》特設サイトをご覧ください
>> 『TypeSquare』ご利用マニュアルはこちら
《TypeSquare×ヘテムル》特設サイトでは、実際にサイト上で
指定フォントを切り替えて表示の違いを確認することができるほか、
遊びながら『TypeSquare』が体験できるコンテンツもご用意しています。
ぜひご覧になってみてください!
