ニュース - シックスコア

2015年12月16日

SSL3.0の無効化によるセキュリティ対策強化

後方互換性のため、長らくSSL 3.0 によるSSL接続が提供されていましたが、セキュリティ強化を目的として、SSL 3.0 が無効化されます。

  • 実施日
    • 2015年12月21日(月)
  • 実施内容
    • 実施対象の各機能において、SSL 3.0を無効化いたします。
  • 実施対象
    • ファイルマネージャー
    • WEBメール
    • 携帯WEBメール
    • phpMyAdmin
    • FTP over SSL
    • メール(SMTP / POP / IMAP) over SSL
    • 共有SSL、独自SSLでのお客様のウェブサイトへのアクセス
注意事項
一部のメールソフト、FTPソフト、ウェブブラウザ等においては、SSL 3.0 の無効化処理に伴い、SSL接続ができなくなる場合があります。ご利用ソフトウェアを最新版に更新するなどご対応のうえ、TLS 1.0に対応するソフトウェアでご利用ください。
1216b
2015年12月16日

TLS 1.2 / 1.1 に対応!「専用SSL」オプションの機能強化

独自ドメインでSSL通信を利用するための「専用SSL」オプションにおいて、対応プロトコルに「TLS 1.2」「TLS 1.1」が追加されます。

情報を暗号化して送受信する仕組みであるSSLにおける通信プロトコルの最新版である TLS 1.2 にも対応することで、カード決済システムやスマートフォンアプリのSSL推奨環境を満たす最新の環境で「専用SSL」オプションを利用可能となります。

  • 実施日
    • 2015年12月21日(月)
  • 実施内容
    • 「専用SSL」オプションの対応プロトコルに TLS 1.2 / 1.1 を追加いたします。
1216a
2015年12月16日

TLS 1.2 / 1.1 に対応!「専用SSL」オプションの機能強化

独自ドメインでSSL通信を利用するための「専用SSL」オプションにおいて、対応プロトコルに「TLS 1.2」「TLS 1.1」が追加されます。

情報を暗号化して送受信する仕組みであるSSLにおける通信プロトコルの最新版である TLS 1.2 にも対応することで、カード決済システムやスマートフォンアプリのSSL推奨環境を満たす最新の環境で「専用SSL」オプションを利用可能となります。

  • 実施日
    • 2015年12月21日(月)
  • 実施内容
    • 「専用SSL」オプションの対応プロトコルに TLS 1.2 / 1.1 を追加いたします。
1216g
2015年12月16日

SSL3.0の無効化によるセキュリティ対策強化

後方互換性のため、長らくSSL 3.0 によるSSL接続が提供されていましたが、セキュリティ強化を目的として、SSL 3.0 が無効化されます。

  • 実施日
    • 2015年12月21日(月)
  • 実施内容
    • 実施対象の各機能において、SSL 3.0を無効化いたします。
  • 実施対象
    • ファイルマネージャー
    • WEBメール
    • 携帯WEBメール
    • phpMyAdmin
    • FTP over SSL
    • メール(SMTP / POP / IMAP) over SSL
    • 共有SSL、専用SSLでのお客様のウェブサイトへのアクセス
注意事項
一部のメールソフト、FTPソフト、ウェブブラウザ等においては、SSL 3.0 の無効化処理に伴い、SSL接続ができなくなる場合があります。ご利用ソフトウェアを最新版に更新するなどご対応のうえ、TLS 1.0に対応するソフトウェアでご利用ください。
1216h
2015年12月10日

全アカウント対応、国内初!PHP5 の2倍以上の実行速度を誇る「PHP7」導入のお知らせ

レンタルサーバーとしてはいち早くPHP7が導入されました。

PHP7 は、PHP5 に比べ2倍以上の実行速度を誇り、メモリ使用量が大幅に改善されたPHPの最新バージョンです。

XServerでは、モジュール版PHPと同等の処理能力を持つ動作方式「FastCGI」とキャッシュによる高速化と負荷軽減効果を持つPHPの拡張モジュール「OPcache」が標準で有効化されています。

  • 提供開始日
    • 2015年12月9日(水)
  • 提供対象
    • エックスサーバー 全プラン
  • 利用方法
    • サーバーパネルの「PHP Ver.切替」にてドメインごとにPHPバージョンを変更できます。

PHP7 におけるPHP高速化設定について

PHP7では、「FastCGI」と「OPcache」は標準で有効(ON)となっており、無効にすることはできません。

FastCGI
プロセス初回実行時に該当プロセスを一定時間サーバー内に保持することで、次回以降、実行時の「プロセスの起動/終了」を省略し、高速化や、プロセスの起動/終了に伴うCPUへの負荷を軽減することで、速度面で優れるとされるモジュール版PHPと同等の処理能力を持つ動作方式です。
OPcache
PHPの初回実行時に、PHPの内容を最適化した状態でキャッシュしておき、次回以降、同じPHPにアクセスがあった際にキャッシュを利用することで、PHP実行時のCPU負荷の軽減や、PHPの大幅な高速化を図るPHPの拡張モジュールです。
1210b
2015年12月10日

PHP5.6導入とPHP推奨バージョン変更のお知らせ

PHP5.6が導入されました。PHP5.6 は、PHP5系統の最新メジャーバージョンです。

XServerでは、PHP5.6にモジュール版PHPと同等の処理能力を持つ動作方式「FastCGI」とキャッシュによる高速化と負荷軽減効果を持つPHPの拡張モジュール「OPcache」が標準で有効化されています。

あわせて、推奨するPHPバージョンを5.6に変更するとともに、5.4以下が非推奨となります。

継続して 5.4 以下のバージョンも利用可能ですが、5.6 以降のバージョンが推奨されます。

新規に追加設定されるドメインにおいて、初期状態のPHPのバージョンが 5.6 となります。

  • 提供開始日
    • 2015年12月9日(水)
  • 対象サービス
    • エックスサーバー 全プラン
  • 対応内容
    • PHP5.6 の導入
    • 推奨するPHPバージョンの PHP5.6 以降への変更とPHP5.4 以前の各バージョンの非推奨化

利用方法

サーバーパネルの「PHP Ver.切替」にてドメインごとにPHPバージョンを変更可能です。

PHP5.6 におけるPHP高速化設定について

PHP5.6 では、以下の機能が標準で有効(ON)となり、無効にすることはできません。

FastCGI
プロセス初回実行時に該当プロセスを一定時間サーバー内に保持することで、次回以降、実行時の「プロセスの起動/終了」を省略し、高速化や、プロセスの起動/終了に伴うCPUへの負荷を軽減することで、速度面で優れるとされるモジュール版PHPと同等の処理能力を持つ動作方式です。
OPcache
PHPの初回実行時に、PHPの内容を最適化した状態でキャッシュしておき、次回以降、同じPHPにアクセスがあった際にキャッシュを利用することで、PHP実行時のCPU負荷の軽減や、PHPの大幅な高速化を図るPHPの拡張モジュールです。

PHPバージョン一覧 (2015年12月9日現在)

  • 今回新たに追加したバージョン
    • PHP 7.0.0 / 5.6.15
  • 引き続き利用できるバージョン
    • PHP 5.5.19 / 5.4.35 / 5.3.3 / 5.2.17 / 5.1.6 / 4.3.9
    • PHP5.4以下は、非推奨バージョンです。
1210a
2015年11月25日

EC-CUBE 2.13.4以前における脆弱性について

オープンソースのECサイト構築システム「EC-CUBE」の開発元である株式会社ロックオンは、2015年11月13日、EC-CUBEのバージョン 2.11.0 ~ 2.13.4 に関して、セキュリティ上の問題(脆弱性)があることを公表しました。

  • 脆弱性が存在するEC-CUBEのバージョン
    • EC-CUBE 2.11.0 ~ 2.13.4
  • 本脆弱性の詳細
    • クロスサイトリクエストフォージェリの脆弱性が存在します。
クロスサイトリクエストフォージェリ(CSRF)
本来拒否すべき他サイトからのリクエストを受け取り、処理すること。
  • 詳細について(外部サイト)
    • JVN#97278546
    • EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
    • http://jvn.jp/jp/JVN97278546/index.html

対策方法

どの方法であってもアップデート前には、各種データーのバックアップが推奨されます。

ワンクリックインストール機能の場合

EC-CUBEのバージョンにより対応方法が異なります。

  • EC-CUBE バージョン 2.13.0 ~ 2.13.4
    • サーバー管理ツール内、「ワンクリックインストール」機能で提供するアップデート機能を利用することで、脆弱性の影響を受けない 2.13.5 にアップデートすることが可能です。
  • EC-CUBE バージョン 2.11.0 ~ 2.12.6
    • 本件に伴うサーバー管理ツールでのアップデート機能の提供はありません。
    • 次項の「ユーザー自身でインストールを行っている場合」を参考にしてください。

ユーザー自身でインストールを行っている場合

ロックオン社から、本件の対策が行われた最新バージョン『EC-CUBE 2.13.5』がリリースされています。詳細はEC-CUBEの公式ページをご覧ください。

  • EC-CUBE2.13.5 正式版をリリースいたしました。1件の脆弱性対応含む不具合修正を実施。(2015/11/13)
    • http://www.ec-cube.net/news/detail.php?news_id=260
1125a
2015年10月29日

サーバーパネル『メーリングリスト・メールマガジン』機能 バージョンアップのお知らせ

エックスサーバーで提供されている メーリングリスト・メールマガジン 機能のバージョンアップが行われました。

このバージョンアップでは、管理パネルの機能が改善されます。

詳細は、以下の通りです。

  • バージョンアップ日
    • 2015年10月28日(水)
  • バージョンアップ対象
    • サーバーパネル内『メーリングリスト・メールマガジン』機能
  • バージョンアップの内容
    • 管理パネルにおける軽微なバグ(不具合)修正

利用方法

サーバーパネルにログイン後、メール -> メーリングリスト・メールマガジンから利用できます。

既存のメーリングリスト・メールマガジンのアップデート適用方法

バージョンアップ版を利用する場合、ユーザー自身でメーリングリスト・メールマガジンごとにアップデート版の適用作業が必要となります。

サーバーパネル内メール -> メーリングリスト・メールマガジンで、対象メーリングリスト・メールマガジンの「アップグレード」ボタンをクリックすると、アップデート版が適用されます。

1029a
2015年10月28日

EC-CUBEにおける脆弱性について

2015年10月23日、EC-CUBEの開発元である株式会社ロックオンから、EC-CUBEのバージョン 2.11.0 ~ 2.13.3 に関して、セキュリティ上の問題(脆弱性)があることが公表されました。

  • 脆弱性が存在するEC-CUBEのバージョン
    • EC-CUBE 2.11.0 ~ 2.13.3

本脆弱性の詳細

クロスサイトリクエストフォージェリの脆弱性が存在します。

クロスサイトリクエストフォージェリ(CSRF)
本来拒否すべき他サイトからのリクエストを受け取り、処理してしまうこと。
  • 詳細について(外部サイト)
    • EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性   - http://jvn.jp/jp/JVN97278546/index.html

対策方法

「ワンクリックインストール」機能を利用している場合

EC-CUBEのバージョンにより対応方法が異なります。

  • EC-CUBE バージョン 2.13.0 ~ 2.13.3
    • サーバー管理ツール内、「ワンクリックインストール」機能のアップデート機能により、脆弱性の影響を受けない2.13.4 にアップデートすることが可能です。
    • アップデート前には必ず各種データのバックアップを行ってください。
  • EC-CUBE バージョン 2.11.0 ~ 2.12.6
    • 本件に伴うサーバー管理ツールでのアップデート機能の提供はありません。
    • 次項の「ユーザー自身でインストールを行っている場合」を参照してください。

ユーザー自身でインストールを行っている場合

ロックオン社から、本件の対策が行われた最新バージョン『EC-CUBE 2.13.4』がリリースされています。

EC-CUBE 2.13.4へのアップデートが困難な場合、下記ページを参考に対応してください。

  • 対策方法について (EC-CUBE公式ページ)
    • EC-CUBE2.13.4 正式版をリリースいたしました。1件の脆弱性対応含む不具合修正を実施。(2015/10/23)
    • http://www.ec-cube.net/news/detail.php?news_id=258
    • アップデートや脆弱性への対策を行われる前に、必ず各種データのバックアップを行ってください。
1028c
2015年10月28日

EC-CUBEにおける脆弱性について

2015年10月23日、EC-CUBEの開発元である株式会社ロックオンから、EC-CUBEのバージョン 2.11.0 ~ 2.13.3 に関して、セキュリティ上の問題(脆弱性)があることが公表されました。

  • 脆弱性が存在するEC-CUBEのバージョン
    • EC-CUBE 2.11.0 ~ 2.13.3

本脆弱性の詳細

クロスサイトリクエストフォージェリの脆弱性が存在します。

「クロスサイトリクエストフォージェリ(CSRF)」
本来拒否すべき他サイトからのリクエストを受け取り、処理してしまうこと。
  • 詳細について (外部サイト)
    • EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
    • http://jvn.jp/jp/JVN97278546/index.html

対策方法

ロックオン社から、本件の対策が行われた最新バージョン『EC-CUBE 2.13.4』がリリースされています。

EC-CUBE ユーザーは、EC-CUBE 2.13.4へのアップデートが推奨されます。

EC-CUBE 2.13.4へのアップデートが困難な場合、下記ページを参考にしてください。

  • 対策方法について (EC-CUBE公式ページ)
    • EC-CUBE2.13.4 正式版をリリースいたしました。1件の脆弱性対応含む不具合修正を実施。(2015/10/23)
    • http://www.ec-cube.net/news/detail.php?news_id=258
1028a