ImageMagickの脆弱性(ImageTragick)に対する各レンタルサーバー会社の対応を調べてみました。
※元々、ImageMagickを提供していない会社もあるので、お知らせがない=対応しないという訳ではないと思います。
ロリポップ!レンタルサーバー
2016年05月03日に公開された ImageMagick の脆弱性(CVE-2016-3714)の悪用を防ぐため、 ImageMagick の一部処理について制限を行っております。
そのため、これまで可能であった動作においても、エラーが発生する可能性がございます。
※今回の対応については、OSベンダーから正式なアップデートが提供されるまでの暫定措置となります。
アップデートが提供され次第、弊社内で動作確認後、アップデートにて対応を行い、制限は解除予定でございます。Source:ImageMagick の脆弱性(CVE-2016-3714)への対応について(Accessed May 10)
詳しい制限内容が記載されていないのは気になりますが、ロリポップさんのことですから、サポートに問い合わせすれば、詳しく回答してくれそうです。
それに、暫定措置であることと将来的には解除すると記載してくれているのもいいですね。
ちなみにヘテムルもほぼ同様の案内です。
エックスサーバー
本脆弱性への対応のため
本日2016年5月7日、
緊急的に ImageMagick のセキュリティアップデート処理を実施し、
これに伴い、一部機能の利用が制限されます。■セキュリティアップデート内容
ImageMagick の一部coder(url、mvg、msl、label)の利用を制限いたします。Source:ImageMagickの脆弱性への対応について(Accessed May 10)
利用を制限するcoderも記載していますし、普通な案内ですね。
ちなみにネットオウル系レンタルサーバーもほぼ同様の案内です。(関連会社だから?)
お名前.comレンタルサーバー
このたび報告されているImageMagickの脆弱性(CVE-2016-3714)に関しまして
共用サーバーSDプランにおきましても該当する懸念がございます。つきましては、脆弱性に対する有効なパッチの適用となるまで
共用サーバーSDプランにおけるImageMagickの利用を停止する運びと
なりましたこと、ご案内申しあげます。Source:ImageMagickの脆弱性(CVE-2016-3714)につきまして(Accessed May 10)
「ImageMagickの利用を停止する」?これって、文面どおりにImageMagick自体が利用できなくなるってことですかね?
だとしたら、利用者としては結構衝撃的?気になる方はお名前.comのサポートに確認してみたほうがいいかもしれません。
カゴヤ・ジャパン
マネージドクラウド for WEB の全サーバー、およびマネージド専用サーバー・共用サーバーで、CentOS 6 で稼働しているものについては、
ImageMagick 修正パッケージの提供が予定されているため、OSベンダーからのパッケージ提供後に対応いたします。マネージド専用サーバー・共用サーバーで、CentOS 5 または Vine linux 4 で稼働しているものについては、ライブラリの一部をリネームし、脆弱性対応いたしました。
(5月9日に対応完了しました)Source:
ImageMagick の脆弱性 (CVE-2016-3714) に関しまして(Accessed May 10)
古いOSに関する案内はいいとしても、「OSベンダーからのパッケージ提供後に対応いたします」って、それまで暫定的な対応もしないということでしょうか?
気になる方は、カゴヤ・ジャパンのサポートに確認してみたほうがいいかもしれません。
