ニュース - ドメインキング

レビュー

WordPressプラグイン「WP GDPR Compliance」の脆弱性について

WordPressプラグイン「WP GDPR Compliance」に関する脆弱性が公表されました。対象バージョンを利用している場合、修正済みのバージョンへのアップデートが必要です。

当該プラグインが有効になっていると、悪意のある第三者が管理者権限を作成することが可能となり、 WordPressへ不正にログインされてしまう可能性があります。

脆弱性の影響を受けるバージョン: WP GDPR Compliance 1.4.2

修正済みのバージョン: WP GDPR Compliance 1.4.3

1120_01

WordPressプラグイン「LearnPress」の脆弱性について

WordPressプラグイン「LearnPress」に関する脆弱性が公表されました。

ログインしているユーザーのウェブブラウザ上で任意のスクリプトが実行される(CVE-2018-16173)
ログインしているユーザーが、細工されたリンクにアクセスすることで任意のウェブサイトにリダイレクトされ、その結果フィッシング攻撃の影響を受ける(CVE-2018-16174)
管理者権限を持つユーザーによって、任意の SQL コマンドを実行される(CVE-2018-16175)

該当プラグインを利用している場合は最新版へアップデートしてください。

1113_01

WordPressプラグイン「Event Calendar WD」の脆弱性について

Web-DoradoのWordPressプラグイン「Event Calendar WD」に関する脆弱性が公表されました。当該プラグインを利用している場合、最新版へアップデートしてください。

格納型のクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。
ログインしているユーザーのブラウザ上で、任意のスクリプトを実行される可能性があります。

1102_01

Drupalの脆弱性について(SA-CORE-2018-006)

US-CERTよりDrupalの脆弱性が発表されました。対象バージョンを利用している場合、修正済みのバージョンへのアップデートを行う必要があります。

これらの脆弱性を悪用された場合、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があります。

対象バージョン: Drupal 7.x系 / Drupal 8.6.x系 / Drupal 8.5.x系

本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

修正済みのバージョン: Drupal 7.60 / Drupal 8.6.2 / Drupal 8.5.8

1023_01

平成30年北海道胆振東部地震による災害のお見舞いとサービス支援措置のお知らせ

平成30年北海道胆振東部地震により被災された方々に心よりお見舞い申し上げます。一日も早い復旧をお祈り申し上げます。
GMOクラウドでは、災害救助法の適用地域にお住まいのご契約者の皆さまを対象に、下記の支援措置を実施いたします。
＜対象となるお客さま＞
ＧＭＯクラウドのサービスをご利用されており、内閣府発表の「平成30年北海道胆振地方中東部を震源とする地震に係る災害救助法の適用」で指定された災害救助法適用市町村を契約住所としているお客さま
＜支援措置＞
（1）ご契約の更新手続きの猶予
2018年9月6日〜2018年12月5日の期間に契約更新日を迎える場合、更新日を過ぎた後でも2019年1月5日までに更新のお手続きをいただければ、ご契約が更新されたものとしてお取り扱いさせていただきます。
更新のお手続きが行われない場合、通常はドメイン廃止、サービス停止など利用約款で定めた措置が行われますが、今回の支援措置では一定期間、ご利用を継続いただけます。
当件に関するご相談につきましては、下記の窓口までお問い合わせください。
【お問い合わせ窓口】
皆さまの安全と、被災地における一日も早い復旧・復興を、心よりお祈り申し上げます。

0906_01

Movable Typeにおけるクロスサイトスクリプティングの脆弱性について

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）は、「Movable Typeにおけるクロスサイト・スクリプティングの脆弱性」を、JVN（Japan Vulnerability Notes）において公表しました。

この脆弱性によりユーザーのブラウザ上で、任意のスクリプトが実行される可能性があります。

脆弱性の影響を受けるバージョン: Movable Type Ver. 6.3.1 より前のバージョン

対策

開発者が提供する情報をもとに、最新版へアップデートする必要があります。

対策前のバージョンを使用する場合、開発者は次のワークアラウンドの適用を推奨しています。: /php/extlib/adodb5/tests ディレクトリを削除する。

0830_01

平成30年台風第7号及び前線等に伴う大雨による災害のお見舞いとサービス支援措置のお知らせ

平成30年台風第7号及び前線等に伴う大雨により被災された方々に心よりお見舞い申し上げます。一日も早い復旧をお祈り申し上げます。
GMOクラウドでは、災害救助法の適用地域にお住まいのご契約者の皆さまを対象に、下記の支援措置を実施いたします。
＜対象となるお客さま＞
ＧＭＯクラウドのサービスをご利用されており、内閣府発表の「平成30年台風第7号及び前線等に伴う大雨による災害にかかる災害救助法の適用について」で指定された災害救助法適用市町村を契約住所としているお客さま
＜支援措置＞
（1）ご契約の更新手続きの猶予
2018年7月5日〜2018年10月4日の期間に契約更新日を迎える場合、更新日を過ぎた後でも2018年11月4日までに更新のお手続きをいただければ、ご契約が更新されたものとしてお取り扱いさせていただきます。
更新のお手続きが行われない場合、通常はドメイン廃止、サービス停止など利用約款で定めた措置が行われますが、今回の支援措置では一定期間、ご利用を継続いただけます。
当件に関するご相談につきましては、下記の窓口までお問い合わせください。
【お問い合わせ窓口】
皆さまの安全と、被災地における一日も早い復旧・復興を、心よりお祈り申し上げます。

0709_01

平成30年大阪府北部の地震による災害のお見舞いとサービス支援措置のお知らせ

平成30年大阪府北部の地震により被災された方々に心よりお見舞い申し上げます。一日も早い復旧をお祈り申し上げます。
GMOクラウドでは、災害救助法の適用地域にお住まいのご契約者の皆さまを対象に、下記の支援措置を実施いたします。
＜対象となるお客さま＞
ＧＭＯクラウドのサービスをご利用されており、内閣府発表の「平成30年大阪府北部を震源とする地震にかかる災害救助法の適用」についてで指定された災害救助法適用市町村を契約住所としているお客さま
＜支援措置＞
（1）ご契約の更新手続きの猶予
2018年6月18日〜2018年9月17日の期間に契約更新日を迎える場合、更新日を過ぎた後でも2018年10月17日までに更新のお手続きをいただければ、ご契約が更新されたものとしてお取り扱いさせていただきます。
更新のお手続きが行われない場合、通常はドメイン廃止、サービス停止など利用約款で定めた措置が行われますが、今回の支援措置では一定期間、ご利用を継続いただけます。
当件に関するご相談につきましては、下記の窓口までお問い合わせください。
【お問い合わせ窓口】
皆さまの安全と、被災地における一日も早い復旧・復興を、心よりお祈り申し上げます。

0619_01

ドメイン名移管手続きの仕様変更について

ドメインを管理する上位機関（レジストリ）の方針変更に伴い、ドメインキング9（GMOクラウド）の契約レジストラである「お名前.com」での移管手続き方法が変更となります。

変更日時: 2018年6月4日（月）12:00

他社からドメインキングへの移管手続き時の変更点

変更点 1
- 変更前：ドメインキングへのお申し込み後にお名前.comからのメール承認が<必要>
- 変更後：ドメインキングへのお申し込み後にお名前.comからのメール承認が<不要>
変更点 2
- 変更前：Whois情報は前管理業者で設定されている情報を引き継ぐ
- 変更後：Whois情報が非公開もしくは不完全だった場合、仮情報でドメイン移管が行われる

ドメインキングから他社への移管手続き時の変更点

変更点
- 変更前：JPドメイン以外のドメインは承認手続きが<不要>
- 変更後：JPドメイン以外のドメインも承認手続きが<必要>

0601_01

baserCMS における複数の脆弱性

baserCMSに、コードインジェクションをはじめとする複数の脆弱性が公表されました。対象バージョンを利用している場合、修正済みバージョンへのアップデートが必要です。

脆弱性の影響を受けるバージョン: baserCMS 4.1.0.1 およびそれ以前のバージョン / baserCMS 3.0.15 およびそれ以前のバージョン

想定される影響
1. 遠隔の第三者によって、運営管理者の権限で任意のコードを実行される
2. サイト運営者権限でログインできるユーザによって、任意のOSコマンドを実行される
3. サイト運営者権限でログインできるユーザによって、任意のファイルをアップロードされる
4. サイト運営者権限でログインできるユーザによって、アクセスを制限されているコンテンツを閲覧されたり、改ざんされたりする
5. 遠隔の第三者によって、サイト利用者がアップロードしたファイルを閲覧される
6. テーマ管理画面にアクセスしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
7. 遠隔の第三者によって、サイト利用者がアップロードしたファイルを閲覧される

2、3、5、6、7への対策
- 開発者が提供する情報をもとに、最新版へアップデートします。
- 5、7については、アクセス権限の問題などにより、インストールが正常に完了していない場合に発生する可能性があります。正常にインストールが完了している場合には発生しません。
1への対策
- 最新版へのアップデート後に、ユーザ認証の有効、無効を選択してください。
- ユーザ認証が有効な場合、記事中へのスクリプトの保存について、システム管理者権限を要求します。
- 最新版へのアップデート後、システム管理グループ以外のユーザについてはユーザ認証が全て無効となり、有効、無効をあらためて選択することが可能になります。
- 最新のインストーラで新規にインストールする際には、ユーザ認証は全て有効になります。
4への対策
- ワークアラウンドを実施する
- コンテンツ管理機能でアクセス制限を行う際には、該当ページのURLを全て登録してください。

0523_01