サービスご利用中のお客さま

ビジネス向けVPSなら販売実績18年のラピッドサイト

ご契約前の電話相談

ニュース

重要】BestWebSoft 製 WordPress 用プラグインの脆弱性に関する注意喚起

2017年5月18日

お客さま各位
平素は格別のご高配を賜り厚く御礼申し上げます。
JVNよりBestWebSoft 製 WordPress 用プラグインにクロスサイトスクリプティングの脆弱性が発表されました。
本脆弱性を悪用された場合、お客さまサーバー内情報の破壊や改ざん、漏えいが発生する可能性もございますため、下記をご確認いただくと共に、対象のプラグインをご利用のお客さまにおかれましては最新版へのアップデートを行っていただけますようお願い申し上げます。

【想定される脅威】
当該製品にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

【脆弱性の影響を受けるバージョン】
Captcha 4.3.0 より前のバージョン
Car Rental 1.0.5 より前のバージョン
Contact Form Multi 1.2.1 より前のバージョン
Contact Form 4.0.6 より前のバージョン
Contact Form to DB 1.5.7 より前のバージョン
Custom Admin Page 0.1.2 より前のバージョン
Custom Fields Search 1.3.2 より前のバージョン
Custom Search 1.36 より前のバージョン
Donate 2.1.1 より前のバージョン
Email Queue 1.1.2 より前のバージョン
Error Log Viewer 1.0.6 より前のバージョン
Facebook Button 2.54 より前のバージョン
Featured Posts 1.0.1 より前のバージョン
Gallery Categories 1.0.9 より前のバージョン
Gallery 4.5.0 より前のバージョン
Google +1 1.3.4 より前のバージョン
Google AdSense 1.44 より前のバージョン
Google Analytics 1.7.1 より前のバージョン
Google Captcha (reCAPTCHA) 1.28 より前のバージョン
Google Maps 1.3.6 より前のバージョン
Google Shortlink 1.5.3 より前のバージョン
Google Sitemap 3.0.8 より前のバージョン
Htaccess 1.7.6 より前のバージョン
Job Board 1.1.3 より前のバージョン
Latest Posts 0.3 より前のバージョン
Limit Attempts 1.1.8 より前のバージョン
LinkedIn 1.0.5 より前のバージョン
Multilanguage 1.2.2 より前のバージョン
PDF & Print 1.9.4 より前のバージョン
Pagination 1.0.7 より前のバージョン
Pinterest 1.0.5 より前のバージョン
Popular Posts 1.0.5 より前のバージョン
Portfolio 2.4 より前のバージョン
Post to CSV 1.3.1 より前のバージョン
Profile Extra 1.0.7 より前のバージョン
PromoBar 1.1.1 より前のバージョン
Quotes and Tips 1.32 より前のバージョン
Re-attacher 1.0.9 より前のバージョン
Realty 1.1.0 より前のバージョン
Relevant - Related Posts 1.2.0 より前のバージョン
Sender 1.2.1 より前のバージョン
SMTP 1.1.0 より前のバージョン
Social Buttons Pack 1.1.1 より前のバージョン
Subscriber 1.3.5 より前のバージョン
Testimonials 0.1.9 より前のバージョン
Timesheet 0.1.5 より前のバージョン
Twitter Button 2.55 より前のバージョン
Updater 1.35 より前のバージョン
User Role 1.5.6 より前のバージョン
Visitors Online 1.0.0 より前のバージョン
Zendesk Help Center 1.0.5 より前のバージョン

※BestWebSoft が提供する複数の WordPress 用プラグインでは、共通のメニュー表示機能を使用しています。
このメニュー表示機能には、クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。

【必要な対応】
開発者が提供する情報をもとに、最新版へアップデートしてください。

【詳細】
■JVN#24834813 複数の BestWebSoft 製 WordPress 用プラグインにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN24834813/

メンテナンスのお知らせ(05/27)

2017年5月12日

平素よりラピットサイトに格別のご愛顧を賜り、誠にありがとうございます。

下記の通り、システムメンテナンスのために一部サービスがご利用いただけません。

【停止となるサービス】

サーバーのお申し込み。オプションのお申し込み。ご契約内容の確認、変更。

※ご契約中のサーバーおよびネットワークに影響はありません。

【メンテナンス日時】

2017/05/27(土)  10時00分~17時00分

お客さまにはご不便をおかけいたしますが、何卒ご了承いただけますようお願い申し上げます。

「IoTの窓口 byGMO」を開設! ひとつの窓口でIoTビジネス化

2017年5月8日

◆ビジネス課題を解決し、利用者にとって「価値」のある 製品・サービスづくりをお客さまと実現します

近年、あらゆるものがインターネットにつながるIoT(Internet of Things、モノのインターネット)の概念の広がりに伴い、モバイル・ウェアラブルデバイスをはじめ、産業機器や自動車、家電などさまざまなデバイスのIoT化が進みつつあります。
こうしたIoTビジネス変革が押し寄せるなか、いまだに導入に踏み切れない企業が多いようです。「正直、IoTは何からはじめたら良いかわからない」など企業の漠然とした課題に対して、「IoTの窓口」IoT コンサルタントがお客さまの課題に対する解決の糸口を導き出し、わかりやすくご提案いたします。モノ・コト・ヒトをつなげて、利用者の感動体験を提供し、これまでとは違う新しい価値のある製品やサービスを生み出します。

◆「IoTの窓口」5つの強み

◆IoTビジネス化のための構想段階から企画開発、製品・サービス化までをひとつの窓口で

◆第6回IoT/M2M展(春)に出展

展示ブースでは、実際に操作をして体感いただける最新のIoT製品・サービスを多数展示しております。
是非、ブースにお立ち寄りお気軽にこ相談ください。

・イベント名:第6回IoT/M2M展(春)
・日時:2017年5月10(水)、11(木)、12(金)
    10:00 ~ 18:00 ※最終日のみ 17:00 終了
・会場:東京ビッグサイト(りんかい線「国際展示場」、ゆりかもめ「国際展示場正門」)
・出展位置:西ホール(西16-3)

◆「IoTの窓口」

「IoTの窓口」へのご相談は下記の専用ページまたはお電話にてお申し込みください。
「IoTの窓口」専用ページURL:https://www.iotnomadoguchi.com/
専用ダイヤル:0120-620-279(受付時間:平日10時から18時)

Ghostscript に任意のコードが実行可能な脆弱性に関する注意喚起

2017年5月2日

お客さま各位
平素は格別のご高配を賜り厚く御礼申し上げます。
JVNVUより、Ghostscript に任意のコードが実行可能な脆弱性が公表されました。
本脆弱性を悪用された場合、お客さまサーバー内情報の破壊や改ざん、漏えいが発生する可能性もございますため、ご利用のお客さまにおかれましては下記をご確認いただくと共に、パッチ・緩和策の適用等のご対応を行っていただけますようお願い申し上げます。

【概要】
Ghostscript に含まれる .rsdparams には、type confusion の問題がございます。
細工された .eps ファイルを処理することで -dSAFER オプションが回避され、結果として任意のコードを実行される可能性がございます。
※本脆弱性を使用した攻撃活動は既に確認されています。

【対象】
Ghostscript 9.21 およびそれ以前のバージョンをご利用で、cgi等で Ghostscript を使用して.eps ファイルの処理を行っているお客さま

【対策】
下記パッチの適用をお願いいたします。

[PATCH] Bug 697799: have .eqproc check its parameters
https://git.ghostscript.com/?p=ghostpdl.git;a=patch;h=4f83478c88

[PATCH] Bug 697799: have .rsdparams check its parameters
https://git.ghostscript.com/?p=ghostpdl.git;a=patch;h=04b37bbce1

また、ImageMagick において本脆弱性の影響を緩和するには、設定ファイル(policy.xml) の設定を変更し、Postscript の処理を制限してください。

【詳細】
■JVNVU#98641178 Ghostscript に任意のコードが実行可能な脆弱性
http://jvn.jp/vu/JVNVU98641178/

ISC BIND 9 に対する複数の脆弱性に関する注意喚起

2017年4月18日

※本脆弱性につきましては、弊社からのサービス提供時状態(初期状態)ではISC BIND 9がインストールされていないため影響はございません。
お客さまご自身でISC BIND 9をインストールされている場合は、ご対応を行っていただけますようお願いいたします。

お客さま各位
平素は格別のご高配を賜り厚く御礼申し上げます。
JPCERT/CCより、ISC BIND 9 対する複数の脆弱性が公表されました。
本脆弱性を悪用された場合、意図せずお客さまサーバーのサービス停止を引き起こされる可能性がございます。
下記をご確認いただくと共に、ご対応いただけますようお願い申し上げます。

【概要】
リモートからの攻撃によって named が終了する可能性がございます。

【詳細】
■JPCERT / ISC BIND 9 に対する複数の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2017/at170016.html

メンテナンスのお知らせ(04/22)

2017年4月7日

平素よりラピットサイトに格別のご愛顧を賜り、誠にありがとうございます。

下記の通り、システムメンテナンスのために一部サービスがご利用いただけません。

【停止となるサービス】

サーバーのお申し込み。オプションのお申し込み。ご契約内容の確認、変更。

※ご契約中のサーバーおよびネットワークに影響はありません。

【メンテナンス日時】

2017/04/22(土)  10時00分~17時00分

お客さまにはご不便をおかけいたしますが、何卒ご了承いただけますようお願い申し上げます。

メンテナンスのお知らせ(03/25)

2017年3月10日

平素よりラピットサイトに格別のご愛顧を賜り、誠にありがとうございます。

下記の通り、システムメンテナンスのために一部サービスがご利用いただけません。

【停止となるサービス】

サーバーのお申し込み。オプションのお申し込み。ご契約内容の確認、変更。

※ご契約中のサーバーおよびネットワークに影響はありません。

【メンテナンス日時】

2017/03/25(土)  10時00分~17時00分

お客さまにはご不便をおかけいたしますが、何卒ご了承いただけますようお願い申し上げます。

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 について

2017年3月10日

※本脆弱性につきましては、弊社からのサービス提供時状態(初期状態)では
Apache Struts 2がインストールされていないため影響はございません。
お客さまご自身でApache Struts 2をインストールされている場合は
アップデート対応を行っていただけますようお願いいたします。

お客さま各位

平素は格別のご高配を賜り厚く御礼申し上げます。

JPCERT/CCより、Apache Struts 2 に関するサービス運用妨害の脆弱性が公表されました。
本脆弱性を悪用された場合、お客さまサーバー内情報の破壊や改ざん、
漏えいが発生する可能性もございますため、下記をご確認いただくと共に、
ご対応いただけますようお願い申し上げます。

【概要】

遠隔の攻撃者が、細工した HTTP リクエストを送信することで、Apache Struts 2 を
使用するアプリケーション (Strutsアプリケーション) を実行しているサーバにおいて、任意のコードを実行する可能性がございます。

【詳細】

■JPCERT / Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
http://www.jpcert.or.jp/at/2017/at170009.html

ISC BIND 9 サービス運用妨害の脆弱性に関する注意喚起

2017年2月13日

お客さま各位
平素は格別のご高配を賜り厚く御礼申し上げます。

ISC BIND 9 に関するサービス運用妨害の脆弱性が公表されました。
脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可能性があります。
ISC BIND 9をご利用のお客さまにおかれましては、ご確認の上
適切な対処を行っていただけますようお願いいたします。

Internet Systems Consortium, Inc. (ISC)
CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash
https://kb.isc.org/article/AA-01453/

【対象】
ISC 社によると、DNS64 と RPZ の双方を有効に設定している場合にのみ、 本脆弱性の影響を受けるとのことです(デフォルトではいずれも無効)。

ISC BIND
- 9.9系列 9.9.3 から 9.9.9-P5 までのバージョン
- 9.10系列 9.10.0 から 9.10.4-P5 までのバージョン
- 9.11系列 9.11.0 から 9.11.0-P2 までのバージョン

【対策】
ISC 社から脆弱性を修正したバージョンの ISC BIND が公開されています。
また、今後各ディストリビュータからも、修正済みのバージョンが
提供されると思われますので、十分なテストを実施の上、
修正済みバージョンの適用をご検討ください。

ISC BIND
- BIND 9 version 9.9.9-P6
- BIND 9 version 9.10.4-P6
- BIND 9 version 9.11.0-P3

【回避策】
ISC 社によると、以下のいずれかの回避策を適用することで、
本脆弱性の影響を軽減することが可能とのことです。

- 運用で使用していない場合、DNS64 もしくは RPZ を設定から削除する
- RPZ におけるポリシーゾーンのコンテンツを適切に制限する

メンテナンスのお知らせ(02/25)

2017年2月9日

平素よりラピットサイトに格別のご愛顧を賜り、誠にありがとうございます。

下記の通り、システムメンテナンスのために一部サービスがご利用いただけません。

【停止となるサービス】

サーバーのお申し込み。オプションのお申し込み。ご契約内容の確認、変更。

※ご契約中のサーバーおよびネットワークに影響はありません。

【メンテナンス日時】

2017/02/25(土)  10時00分~17時00分

お客さまにはご不便をおかけいたしますが、何卒ご了承いただけますようお願い申し上げます。

【重要】WordPressの脆弱性に関する注意喚起

2017年2月7日

平素よりラピットサイトに格別のご愛顧を賜り、誠にありがとうございます。

WordPress提供元よりWordPressに関する深刻な脆弱性が発表されましたため、
下記をご確認をいただくとともに、対象バージョンのWordPressをご利用のお客さまにおかれましては、WordPress 4.7.2(2017.1.26リリース)へのアップデートを行っていただけますようお願い申し上げます。

【想定される脅威】
WordPress4.7.0と4.7.1のREST API(既設定:有効)に、認証なしにWebページを更新できる脆弱性が存在することで攻撃者にこれらの脆弱性を悪用され、Webサイトの改ざんや様々な攻撃に利用される恐れがございます。

【脆弱性の影響を受けるバージョン】
WordPress 4.7.0
WordPress 4.7.1
※WordPressの他バージョン系統(4.6など)において、REST APIを導入している場合の影響については確認できておりません。
必要に応じ最新の情報をご確認いただくとともに最新版へのアップデートをご検討ください。

【回避策】
WordPress 4.7.2(2017.1.26リリース)
へのアップデートを行っていただけますようお願いいたします。
※ 即時アップデートが難しい場合、REST APIの無効化などもご検討ください。
また、不正改ざんの被害に備えて、SiteLockによる下記の対策も可能です。

  • ・ WordPress診断(アプリ診断)を定期的に行い、脆弱性のないバージョンであることを確認
  • ・「マルウェア診断」を用いて、マルウェアなどサイト内の不正なコンテンツが埋め込まれているか定期的に診断
  • ・「SMART診断」を用いて不正改ざん監視、Webサイトの差分確認を定期的に実施

SiteLock サービス詳細
https://www.saastart.jp/service/websecurity/

【重要】旧バージョンのWordPress停止、およびアップデート対応のお願い

2017年1月25日

平素は弊社サービスをご利用いただきまして、誠にありがとうございます。

現在、共用サーバーサービスをご利用いただいております一部のお客さまのアカウント上において、悪意ある第三者からの不正アクセスによる攻撃プログラムの設置や、WEBサイトが改ざんされマルウェアが仕込まれるなどのセキュリティー被害が多数発生している状況がございます。

セキュリティ被害にあってしまった場合、被害拡大を防ぐため、復旧対応が完了するまでサイトの公開ができなくなりますが、その復旧対応はお客さまご自身にて行っていただく必要があり、多大な労力がかかります。

そのため、セキュリティ被害にあわないよう予防することが重要となりますが、セキュリティー被害にあってしまう原因の多くは、予測可能な簡単なパスワードの設定や、脆弱性のある古いバージョンのCMSを使い続けてしまうことに起因します。

そのため、お客さまに多大なご迷惑をおかけいたしますが、セキュリティ強化対策としてWordPress3.7未満の旧バージョンの停止施策を実施いたします。

対象のお客さまへは、下記の件名のメールにてご案内をお送りしております。

------------------------------------------------------------------------
件名:【重要】【ラピッドサイト】旧バージョンのWordPress停止、
およびアップデート対応のお願い:ドメイン名
------------------------------------------------------------------------

複数のWordPressを運用されているお客さまへは重複するご案内となってしまいますが、対象となるドメイン名、ディレクトリごとのご対応をお願いいたします。


WordPress 旧バージョンの利用停止措置について

以下日程にて、2度にわたり、WordPressの旧バージョン利用停止措置を実施いたします。
利用停止措置後は、旧バージョンを利用したWEBサイト公開がおこなえなくなりますので、ご利用中のお客さまにおかれましては、以下に記載いたします手順に沿って、必ずバージョンアップ作業をおこなっていただけますようお願い申し上げます。

▼【WordPressバージョンアップ手順】

https://help.gmocloud.com/app/answers/detail/a_id/2959/

------------------------------------

<第1回メンテナンス>

◆利用停止措置実施日時
2017年02月07日(火)から2017年02月09日(木)
※お客さまごとに異なります。
◆停止対象バージョン
WordPress3.7未満
◆作業内容
古いWordPressをインストールしたディレクトリのパーミッションを無効化いたします。
◆影響内容
WEBブラウザ上からWordPress3.7未満の閲覧がおこなえません。

------------------------------------

<第2回メンテナンス>

◆利用停止措置実施日時
2017年03月28日(火)から2017年03月30日(木)
※お客さまごとに異なります。
◆停止対象バージョン
WordPress3.7未満
◆作業内容
古いWordPressをインストールしたディレクトリをドキュメントルート外へ移動いたします。
◆影響内容
WEBブラウザ上からWordPress3.7未満の閲覧がおこなえません。

------------------------------------


今後もよりよいサービスをお客さまに提供できるよう専心努力してまいります。
引き続き変わらぬご愛顧を賜りますようお願い申し上げます。

PHPMailerにおける脆弱性に関する注意喚起

2017年1月19日

平素は弊社サービスをご利用いただきまして、誠にありがとうございます。

2016年12月25日に、PHPMailerにおけるOS コマンドインジェクションの脆弱性が報告されました。
(CVE識別番号:CVE-2016-10033)

PHPMailerは、WordPressやDrupalなどのCMS、各種プラグインにて利用されているPHPのライブラリのため、
PHPアプリケーション上で任意のコードが実行され、ウェブサイトの改ざんや悪意のあるプログラムを
設置される可能性がございます。

お客さまにおかれましては、PHPMailerのご利用状況をご確認いただき、
開発元が提供する情報をもとに、PHPMailer を最新版へアップデートしていただけますよう
お願い申し上げます。

▼JVNVU#99931177:PHPMailer に OS コマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU99931177/

メンテナンスのお知らせ(01/28)

2017年1月13日

平素よりラピットサイトに格別のご愛顧を賜り、誠にありがとうございます。

下記の通り、システムメンテナンスのために一部サービスがご利用いただけません。

【停止となるサービス】

サーバーのお申し込み。オプションのお申し込み。ご契約内容の確認、変更。

※ご契約中のサーバーおよびネットワークに影響はありません。

【メンテナンス日時】

2017/01/28(土)  10時00分~17時00分

お客さまにはご不便をおかけいたしますが、何卒ご了承いただけますようお願い申し上げます。