ニュース - Xserver VPS

2018年4月16日、ECサイト構築プログラム「EC-CUBE」のバージョン3系統においてセキュリティ上の脆弱性について公表されるとともに修正版である「EC-CUBE 3.0.16」がリリースされました。

該当バージョンの「EC-CUBE」を使用されている場合、最新バージョン（3.0.16）へのアップデートが推奨されます。

• 脆弱性を確認したバージョン
  • EC-CUBE 3.0.0～3.0.15
• 脆弱性の影響
  • 特定の条件において、セッション情報を改ざんされる恐れがあります。

旧バージョンからのアップデートについて

EC-CUBE公式サイトを参照してください。

アップデートの前に必ず現在のデータのバックアップを取得してください

EC-CUBE 開発ドキュメント EC-CUBE本体のバージョンアップ （外部サイト）

https://doc.ec-cube.net/quickstart_update

自動インストール機能で新規にインストールされる「EC-CUBE」については最新版の「EC-CUBE 3.0.16」に対応しています。

2018年3月28日、「Drupal」のバージョン 8.x および 7.x において緊急性の高いセキュリティ上の問題（脆弱性）が確認され、脆弱性が対策された修正版がリリースされました。

旧バージョンの「Drupal」を使用されている場合、最新バージョンへのアップデートが推奨されます。

• 脆弱性を確認したバージョン
  • Drupal 8.5.1 より前のバージョン
  • Drupal 7.58 より前のバージョン
  • サポートが終了している 6.x系や 8.4系以前も本脆弱性の影響があります。

脆弱性の影響

第三者に任意のコードを実行される、非公開データの漏洩の恐れがあります。

◇詳細について（外部サイト）

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

SMTP認証（SMTP AUTH）による不正なメール送信を防止する「SMTP認証の国外アクセス制限」機能に対し、セキュリティ対策強化のため、これまでは制限対象外としていたAmazon Web Services（以下AWS）の国外リージョンからの接続も制限対象となります。

AWSの国外リージョンからメールサーバーにSMTP認証による接続を行う場合を除き、この制限対象の追加による影響はありません。

• 実施日
  • 2018年4月9日(月)
• 対象サービス
  • レンタルサーバー 全プラン
• 対象機能
  • SMTP認証の国外アクセス制限
• 追加する制限対象
  • これまでは制限対象外としていたAWSの国外リージョンを制限対象に追加

制限対象外のホスト名

以下のホスト名については、国外のIPアドレスであっても、「SMTP認証の国外アクセス制限」の制限対象外です。

これまでの制限対象外ホスト名

amazonaws.com

google.com

outlook.com,hotmail.com

変更後の制限対象外ホスト名

ap-northeast-1.amazonaws.com（※）

ap-northeast-1.compute.amazonaws.com（※）

ap-northeast-3.amazonaws.com（※）

ap-northeast-3.compute.amazonaws.com（※）

google.com

outlook.com,hotmail.com

(※) AWSの国内リージョンに割り当てられるホスト名です。 AWSの国内リージョンからメールサーバーへのSMTP認証による接続については、国外のIPアドレスであっても、「SMTP認証の国外アクセス制限」の制限対象外となります。

WordPressのプラグイン「WordPress Popular Posts」のバージョン「4.0.0」での仕様変更以降、「コンテンツ表示速度の低下」や「サーバーへの過負荷」が発生するケースが多数確認されています。

下記はコンテンツ表示速度の向上や、サーバーに対する負荷軽減が見込める推奨設定の案内となります。

• 対象となるWordPressのプラグイン
  • WordPress Popular Posts
• コンテンツ表示速度の低下について
  • 多数のアクセスが発生した際に、データベースの処理が非常に多くなり、コンテンツが表示されるまでに通常よりも長い時間がかかる場合があります。

推奨設定について

コンテンツ表示速度の向上や、サーバーに対する負荷の軽減が見込める以下の設定を推奨します。

以下の項目は、WordPressの管理ページ（ダッシュボード）にログインし、「設定」>「WordPress Popular Posts」にある「ツール」で設定できます。

• WPPキャッシュ期限ポリシー: 「キャッシュする」を選択
• キャッシュ更新間隔: 「1時間」以上を指定
• データサンプリング: 「有効」を選択

プラグイン「WordPress Popular Posts」のアップデートについて

「WordPress Popular Posts（4.0.0～4.0.9）」においては、不具合によりキャッシュ機能が正常に機能しません。

推奨設定で利用する場合は、最新版へアップデートする必要があります。

原文のまま掲載します。

平成30年2月4日からの大雪により被災された皆様に心よりお見舞い申し上げます。

当サービスでは、このたびの平成30年2月4日からの大雪による災害にかかる災害救助法が適用された地域のお客様を対象に、特別措置を実施することといたしました。

詳細は以下をご参照ください。

対象サービス

・レンタルサーバー 全プラン

・独自ドメイン

対象のお客様

2018年2月5日以前のお申し込みで、ご登録住所が平成30年2月4日からの大雪による災害に係る災害救助法が適用された以下地域のお客様。

【福井県】

福井市、大野市、勝山市、鯖江市、あわら市、坂井市、吉田郡永平寺町、丹生郡越前町

特別措置の概要

【サーバーアカウント】

2018年2月末が利用期限のサーバーアカウントについて、弊社にて2018年3月末への無償延長をいたします。

【独自ドメイン】

2018年2月6日～2月末日が利用期限のドメインについて、弊社にて1年間の無償延長をいたします。

本件に関する詳細については、大変お手数ではございますが、カスタマーサポートまでお問い合わせください。

弊社社員一同、一日も早い復旧を心よりお祈り申し上げます。

最新サーバー環境において「PHP 7.2」が導入されました。

PHP 7.2 は現在公式にリリースされているPHPの最新バージョン系統です。 PHP 7.1 同様、PHP 5 系統と比較し2倍以上の実行速度を誇り、PHP 7.1 から様々な機能が追加されています。

さらにモジュール版PHPと同等の処理能力を持つ動作方式「FastCGI」と キャッシュによる高速化と負荷軽減効果を持つPHPの拡張モジュール「OPcache」が提供されます（標準で有効）。

• 対象サービス
  • レンタルサーバー 全プラン
• 提供PHPバージョン
  • PHP 7.2.x

提供開始日

お客様がご利用のサーバーにより提供開始日が異なります。

インフォパネルの「ご契約一覧」か、サーバーパネルの「サーバー情報」→「ホスト名」で確認できます。

提供予定時期

sv941.xserver.jp～sv945.xserver.jp、sv2001.xserver.jp以降

2018年2月9日より、PHP 7.2 のご利用が可能です。

sv1.xserver.jp～sv940.xserver.jp、sv946.xserver.jp～sv1999.xserver.jp

今後予定している最新サーバー環境への切り替えメンテナンスとともにPHP 7.2 が利用できるようになります。

認証局・ブラウザベンダーで構成される業界団体（CA/BROWSER FORUM）のルール改定によって 2018年3月1日以降に発行されるSSL証明書の有効期間が最大825日間（約27ヶ月）に短縮されます。 それに伴い「オプション独自SSL」のSSLサーバー証明書について、 契約期間が「3年」となっている申し込みの受け付けが2018年2月16日に終了します。

受付終了日時

2018年2月16日 正午

終了対象

オプション独自SSLの、契約期間を「3年」とするお申し込み（新規・更新）

すでに発行済みの、契約期間が「3年」のオプション独自SSLについて

すでに発行済みの、契約期間が「3年」のオプション独自SSLは有効期限が短縮されることなく、現在表示されている有効期限まで引き続き利用可能です。

「CA/BROWSER FORUM」とは

「CA/BROWSER FORUM」(https://cabforum.org/)とは世界の認証局、ブラウザベンダーで構成される業界団体で、電子証明書を使った通信の安全性や利便性を向上させるためのガイドラインを策定しています。

2018年2月7日、「WordPress 4.9.3」において『自動バックグラウンド更新』が正常に機能しない不具合が公表されるとともに、 修正版である「WordPress 4.9.4」がリリースされました。

該当バージョンの「WordPress」を使用されている場合、WordPressの管理ページ（ダッシュボード）から、 手動で最新バージョン（4.9.4）へのアップデートを行う必要があります。

• 不具合が公表されたWordPress
  • WordPress 4.9.3（2018年2月7日現在「4.9.4」が最新版）

不具合の内容

『自動バックグラウンド更新』を有効にしているWordPressにおいて自動更新されなくなる

詳細は、WordPressの公式サイト（WordPress.org 日本語版ブログ「WordPress 4.9.4 メンテナンスリリース」）で確認できます。

対応方法（アップデート方法）

WordPressの管理ページ（ダッシュボード）にログインし、更新メニューから最新バージョンのWordPressへのアップデートを行います。

2017年12月25日より電話サポートに音声ガイダンスが導入されます。

電話サポートへ電話すると音声ガイダンスが流れるので、案内に沿って問い合わせ内容を番号で選択します。 問い合わせ内容に応じた担当者につながります。

• 対応開始日時
  • 2017年12月25日(月) 10:00～
• 対応内容
  • カスタマーサポート電話窓口に音声ガイダンスを導入

利用方法

• 案内に沿って、お問い合わせの内容を番号で選択します。
  • [1] サービスの利用を検討中のお客様
  • [2] 申し込み後の料金や各種手続き
  • [3] サービスの利用や設定方法、その他

音声ガイダンスについて

• ダイヤル回線からのお問い合わせの場合、番号を選択する前に「＊」（米印）、もしくは「トーン」を押してください。
• 案内の途中でもボタン操作による選択が可能です。
• お問い合わせが集中した場合、つながりにくくなることがあります。

2012年2月以前に設定された旧仕様の「共有SSL」に対して、セキュリティ対策の一環から2018年2月28日正午をもってWebアクセス対応が終了し、設定が削除されます。

終了後は、該当するSSL用アドレスを用いたWebサイトの表示ができなくなります。

継続してSSLを用いてWebサイトを運用する場合には、無料・無制限に利用可能な「無料独自SSL」や「オプション独自SSL」への変更が必要です。

• 対応終了日時

  • 2018年2月28日 正午 ^ 対象機能 : 以下のSSL用アドレス（サイトアドレス）の形式でご利用の「共有SSL」 : https://sv*.xserver.jp/~サーバーID/ドメイン名/

• sv560サーバー以前のサーバーで2012年2月までに設定された共有SSLが該当します。

• 2012年3月から2016年11月まで提供された、SSL用アドレス（サイトアドレス）形式が https://ドメイン名.ssl-xserver.jp/ の共有SSLは終了対象ではありません。

対象有無の確認方法

サーバーパネル内「SSL設定」を確認します。

• 共有SSL一覧の表示が「ある」場合
  • 「2018年2月28日以降はアクセスできなくなります」と記載された共有SSLは、2018年2月28日 正午をもってWebアクセスができなくなります。
  • 「2018年2月28日以降はアクセスできなくなります」の記載がない共有SSL（サイトアドレスが「https://ドメイン名.ssl-xserver.jp/」形式のもの）は2018年3月1日以降も引き続きご利用可能です。
• 共有SSL一覧の表示が「ない」場合
  • 共有SSLを利用していないため、今回の対象とはなりません。

SSLを用いたWebサイトの運用を継続したい場合

無料・無制限に利用可能な「無料独自SSL」や「オプション独自SSL」への変更をご検討ください。