お客さまもご安心ください。
CentOS 6を継続利用するなら
延長サポートで脆弱性対策
CentOS 6は2020年11月30日でサポート期間が終了しています。
CentOS 6 再延長サポートを利用すれば、2026年11月30日まで重大な脆弱性に対するセキュリティアップデートを受けられます。新OSへの移行が難しい場合も、引き続きCentOS 6環境を安全に使い続けることができます。
オンプレミスでもクラウドでも
サーバー環境はどこでもOK
1OS 月額12,000円から
利用可能
利用期間の縛りなし
CentOS 6を使い続けるリスクとは
CentOSのサポートには、新機能の追加やセキュリティ対策のパッケージがリリースされる「完全更新」と、最低限必要なセキュリティ対策のパッケージリリースのみが行われる「メンテナンス更新」の2種類があります。
「完全更新」は2017年に既に終了しており、2020年11月30日には最低限の「メンテナンス更新」も終了してしまいました。
現在CentOS 6は完全な「EOL」(End of Life)となっています。
修正パッチ配布済み脆弱性(一部抜粋)
CentOS 6のサポート終了後に発見された脆弱性には以下のようなものがあります。当サービスにて修正パッチを提供済みです。
サポート終了後のCentOS 6には多くの脆弱性が発見されています。
既に15件以上の修正パッチの配布実績があります。
パッケージ名 | CVE番号 | CVSS深刻度 | 脆弱性の概要 |
---|---|---|---|
sudo | CVE-2021-3156 | 7.8 | 特権昇格が可能な脆弱性 |
kernel | CVE-2014-4508 | – | サービス拒否状態にされる脆弱性 |
CVE-2020-29661 | 7.8 | メモリ破壊および特権昇格が可能な脆弱性 | |
CVE-2021-20265 | 5.5 | メモリリソースを消費しサービス拒否状態にされる脆弱性 | |
CVE-2021-27364 | 7.1 | 機密情報の読み取りが可能・サービス拒否状態にされる脆弱性 | |
CVE-2021-33909 | 7.8 | 特権昇格が可能な脆弱性 | |
CVE-2020-12362 | 7.8 | 特権昇格が可能な脆弱性 | |
CVE-2021-3347 | 7.8 | カーネル内で任意のコード実行が可能となる脆弱性 | |
openssl | CVE-2020-1971 | 5.9 | 利用するアプリケーションをサービス拒否状態にされる脆弱性 |
polkit | CVE-2021-4034 | 7.8 | 特権昇格が可能な脆弱性 |
Apache HTTP Server | CVE-2022-22720 | 9.8 | HTTPリクエストスマグリングの脆弱性 |
expat | CVE-2022-25235 | 9.8 | 不適切なエンコードまたは出力のエスケープの脆弱性 |
CVE-2022-25236 | 9.8 | 誤った領域へのリソースの漏えいの脆弱性 | |
CVE-2022-25315 | 9.8 | 整数オーバーフローまたはラップアラウンドの脆弱性 | |
rsyslog | CVE-2022-24903 | 8.1 | バッファオーバーフローの脆弱性 |
サポート終了(メンテナンス更新終了)後のリスク
メンテナンス更新の終了後もCentOS 6を使い続ける場合、次のようなリスクが発生します。
セキュリティホールの修正パッチ提供がなくなる
一般的にソフトウェアなどに脆弱性が発見された場合、悪意のあるクラッカーからの攻撃や、ウイルス、マルウェアなどに備えるため、提供元のベンダーは脆弱性をカバーするセキュリティパッチ(修正パッケージ)を配布します。
しかしサポート期間が終了すると、もし脆弱性が発見されたとしても修正パッチが発行されなくなるため、セキュリティリスクが急上昇してしまうのです。
CentOS 5のサポート終了後に発生した主な脆弱性の例
実際にCentoOS 5のサポート終了後には、次のような脆弱性が発見され、重大なセキュリティリスクに発展しました。
- 特権ユーザの奪取
- 一部プロセスを第三者がリモートから不正に操作し、意図しないサービスダウンが発生
- CPU命令の投機的実行
(CPUに本来不要な命令を発行させ、通常はアクセスできないメモリ空間にアクセスを行い、パスワードや暗号鍵など重要情報を窃取する攻撃)
このように、メンテナンス更新の終了後は重大なセキュリティインシデント発生のリスクが高まります。
CentOS特有の事情
CentOSはRHELから商標を徹底的に排除し、無償化していることが特徴です。
企業向けの有償LinuxであるRHEL(Red Hat Enterprise Linux)と同等の機能を無料で使用できるため、コストと機能の両立を求められがちな企業向けサーバ用OSとして普及しています。
つまり、CentOSの脆弱性を突くことは、悪意を持った第三者にとって効率の良い攻撃手法になり得るわけです。メンテンナンス更新終了後のCentOS 6は、攻撃者の標的になりやすい環境といえるでしょう。
こんな方へお薦めです
アプリケーション、コンテンツの正常稼働のためにOSのアップデートが難しい…
来年サイトのリニューアルが決まっているので、あと1年だけ今の環境で運用したい
リプレイス作業は進めており、切り替えの目処は立っているがそれまでの期間 脆弱性に備えたい
CentOS 8に移行しようと考えていたが、先行きが不透明なためCentOS 6でしばらく様子を見たい…
「期間の縛りもなく」「1OSから」利用可能です!
サービス内容詳細
- CentOS 6 に重大なセキュリティーホールが発見された場合、ベストエフォートにて修正パッチを提供するサービスです。
- 修正パッチについては、適宜お客様にて適応いただく形となります。そのため、サーバの管理者権限(root権)が必要です。
- 本サービスは、CentOS 6.10を対象としたパッチ(rpm形式)となります。CentOS 6.10以外でもご契約は可能です。
料金表
サービス名 | 内容 | 提供期間 | 初期費用 | 月間利用料 |
---|---|---|---|---|
CentOS 6 再延長サポート | 1OSあたり | 2024/7/1〜2026/11/30 | 0円 | 12,000円 |
※契約期間の縛りはございません。
※過去にリリースした修正パッチはすべて配布いたします。すでにご利用いただいているお客さまとの公平を保つため、サービス開始から現在までの月間利用料を遡り初回費用として請求させていただきます。
※料金はすべて税別表示です。
お問い合わせ
サービスの導入・検討にあたってのご質問は、こちらから気軽にお問い合わせください。