SuitePRO における脆弱性（CVE-2015-3456）について

株式会社NTTPCコミュニケーションズ
2015年5月28日

平素はWebARENA をご利用くださり誠にありがとうございます。
WebARENA SuitePRO V1、SuitePRO V2、SuitePRO V3をご利用のお客さまへの案内となります。

先日より、仮想化プラットフォームで使われている仮想フロッピードライブのコードに、重大な脆弱性が発見されたと報告されています。
つきましては、 SuitePRO V1、SuitePRO V2、SuitePRO V3での影響についてお知らせいたします。

記

■概要

XenやKVMなど、多数の仮想化プラットフォームで使われている仮想フロッピードライブのコードに、重大な脆弱性が発見されたと報告されています。
（CVE-2015-3456）
この脆弱性により、攻撃者がゲスト仮想マシンから抜け出してホストシステムへアクセスし、不正な操作が実行される恐れがあります。

■脆弱性の対象について

【SuitePRO V1/V2/V3(VPSハイスペック)をご利用のお客さま】
本サービスでは、対象のサーバー仮想化ソフトウェアは使用していないため、本脆弱性の対象ではございません。

【SuitePRO V3(VPSエントリー)をご利用のお客さま】
本サービスでは、対象のサーバー仮想化ソフトウェアを採用していますが、影響の詳細な調査と並行しパッチ適用の準備を進めております。
詳細が判明次第、追ってお知らせいたします。

■参考情報

　VENOM Vulnerability
　http://venom.crowdstrike.com/
　
　Common Vulnerabilities and Exposures - CVE-2015-3456
　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456

　ZDNet Japan - 脆弱性「VENOM」をセキュリティ企業が新たに報告
　http://japan.zdnet.com/article/35064485/

　ITmedia エンタープライズ -
　 仮想化製品多数に「ゲストVM脱出」の脆弱性、影響は極めて重大
　http://www.itmedia.co.jp/enterprise/articles/1505/14/news050.html