サポート終了後も
継続利用するなら
CentOS 7 延長サポート
CentOS 7は2024 年 6 月 30 日でサポート期間が終了します。
CentOS 7延長サポートを利用すれば、最長 2028 年 6 月 30 日まで
重大な脆弱性に対するセキュリティアップデートを提供するため、
引き続きCentOS 7環境を安全に使い続けることができます。
オンプレミスでもクラウドでも
サーバー環境はどこでもOK
1OS 月額10,000円
利用期間の縛りなし
サポート終了後も
CentOS 7を使い続けるリスクとは
CentOSのサポートには、新機能の追加やセキュリティ対策のパッケージがリリースされる「完全更新」と、最低限必要なセキュリティ対策のパッケージリリースのみが行われる「メンテナンス更新」の2種類があります。
CentOS 7の「完全更新」は2020年に既に終了しており、2024年6月30日には最低限の「メンテナンス更新」も終了予定です。 その後CentOS 7は完全な「EOL」(End of Life)となります。
修正パッチ配布済み脆弱性(一部抜粋)
Cent OS 7のサポート終了後に発見された脆弱性には以下のようなものがあります。当サービスにて修正パッチを提供済みです。
修正パッチ配布済み脆弱性の一覧はこちら
| パッケージ名 | CVE番号 | CVSS深刻度 | 脆弱性の概要 |
|---|---|---|---|
| java-1.8.0-openjdk | CVE-2024-21147 | 7.4 | 不正なデータの操作 (更新、挿入、および削除)、および不正なデータの読み取りを可能とする脆弱性 |
| httpd | CVE-2024-38474 | 8.1 | 任意のコードの実行、および情報の漏洩を可能とする脆弱性 |
| CVE-2024-38475 | 9.1 | 任意のコードの実行、および直接的にアクセスできないサーバー内のファイルへのアクセスを可能とする脆弱性 | |
| CVE-2024-38476 | 8.1 | 任意のローカルスクリプトの実行、情報の漏洩、および SSRF (Server Side Request Forgery) 攻撃を可能とする脆弱性 | |
| CVE-2024-38477 | 7.5 | サービス拒否攻撃(クラッシュの発生)を可能とする脆弱性 | |
| CVE-2024-39573 | 7.4 | SSRF (Server Side Request Forgery) 攻撃を可能とする脆弱性 | |
| CVE-2024-39884 | 7.5 | HTTPリクエストを介してローカルのソースコードの漏洩を可能とする脆弱性 | |
| CVE-2024-40725 | 7.5 | HTTPリクエストを介してローカルのソースコードの漏洩を可能とする脆弱性 | |
| kernel | CVE-2021-3609 | 7 | メモリ領域の破壊、システムクラッシュ、特権昇格が可能となる脆弱性 |
| CVE-2022-2639 | 7.8 | 特権昇格を可能とする脆弱性 | |
| CVE-2023-1829 | 7.4 | 特権昇格を可能とする脆弱性 | |
| CVE-2024-36971 | 7.8 | 特定のネットワークコネクションの動作に対する不正な変更を可能とする脆弱性 | |
| CVE-2024-41071 | 7.8 | 任意のコードの実行を可能とする脆弱性 | |
| OpenSSL | CVE-2023-0215 | 7.5 | クラッシュの発生とサービス拒否攻撃を可能とする脆弱性 |
| glibc | CVE-2021-3999 | 7.5 | setuidを使用するプログラムを介して、特権昇格を可能とする脆弱性 |
| CVE-2021-35942 | 7.4 | posix/wordexp.cファイルの parse_param() 関数でクラッシュを引き起こしたり、任意のメモリ領域が読まれてしまう脆弱性 | |
| CVE-2022-23218 | 7.5 | サービス拒否や、任意コード実行が可能な脆弱性 | |
| CVE-2022-23219 | 7.5 | サービス拒否や、任意コード実行が可能な脆弱性 | |
| Bind | CVE-2024-1737 | 7.5 | サービス拒否攻撃を可能とする脆弱性 |
| CVE-2024-1975 | 7.5 | サービス拒否攻撃 (CPU リソース枯渇) を可能とする脆弱性 | |
| Krb5 | CVE-2024-37370 | 7.5 | プレーンテキスト形式で記録されているExtra Count field の改竄を可能とする脆弱性 |
| linux-firmware | CVE-2023-31315 | 7.5 | 任意のコードの実行を可能とする脆弱性 |
| python-setuptools | CVE-2024-6345 | 8.8 | 任意のコマンドの実行を可能とする脆弱性 |
| php | CVE-2023-0568 | 7.5 | 不正なデータの読み取りや書き込みを可能とする脆弱性 |
| CVE-2024-8927 | 7.5 | 意図したPHP の呼び出しの阻害、および任意のファイルの組み込みを可能とする脆弱性 | |
| postgresql | CVE-2021-23214 | 8.1 | 任意の SQL クエリの挿入が可能となる脆弱性 |
| CVE-2024-10979 | 8.8 | 任意のコードの実行を可能とする脆弱性 |
サポート終了(メンテナンス更新終了)後のリスク
メンテナンス更新の終了後もCentOS 7を使い続ける場合、次のようなリスクが発生します。
セキュリティホールの修正パッチ提供がなくなる
一般的にソフトウェアなどに脆弱性が発見された場合、悪意のあるクラッカーからの攻撃や、ウイルス、マルウェアなどに備えるため、提供元のベンダーは脆弱性をカバーするセキュリティパッチ(修正パッケージ)を配布します。
しかしサポート期間が終了すると、もし脆弱性が発見されたとしても修正パッチが発行されなくなるため、セキュリティリスクが急上昇してしまうのです。
CentOS特有の事情
CentOSはRHELから商標を徹底的に排除し、無償化していることが特徴です。
企業向けの有償LinuxであるRHEL(Red Hat Enterprise Linux)と同等の機能を無料で使用できるため、コストと機能の両立を求められがちな企業向けサーバ用OSとして普及しています。
つまり、CentOSの脆弱性を突くことは、悪意を持った第三者にとって効率の良い攻撃手法になり得るわけです。メンテンナンス更新終了後のCentOS 7は、攻撃者の標的になりやすい環境といえるでしょう。
CentOS 6のサポート終了後に発生した主な脆弱性の例
実際にCentOS 6のサポート終了後には、次のような脆弱性が発見され、重大なセキュリティリスクに発展しました。
- 一般ユーザが特権レベル(root権限)へ権限昇格可能となる脆弱性
- サービス運用妨害(システムクラッシュ)状態にされる脆弱性
- 利用するアプリケーションをサービス拒否(クラッシュ)状態にされる脆弱性
このように、メンテナンス更新の終了後は重大なセキュリティインシデント発生のリスクが高まります。
こんな方へお薦め
アプリケーション、コンテンツの正常稼働のためにOSのアップデートが難しい…
来年サイトのリニューアルが決まっているので、あと1年だけ今の環境で運用したい
リプレイス作業は進めており、切り替えの目処は立っているがそれまでの期間 脆弱性に備えたい
次に利用するOSがまだ不透明なため、CentOS 7でしばらく様子を見たい…
「期間の縛りもなく」「1OSから」利用可能です!
サービス提供内容
- CentOS 7 に重大なセキュリティーホールが発見された場合、ベストエフォートにて修正パッチを提供するサービスです。
- 修正パッチについては、適宜お客様にて適応いただく形となります。そのため、サーバの管理者権限(root権)が必要です。
- CentOS 7の最終バージョンを対象としたパッチ(rpm形式)提供となる予定です。
ご利用開始までの流れ
お問い合わせフォームかお電話にてお問い合わせください。
お見積りとお申込書をお送りいたします。
約款へご同意の上、申込書に必要事項を記入してお申し込みください。
申込書受領から2〜3営業日にて手続きが完了します。
サポート終了後の2024年7月以降、パッチが作成されたタイミングで都度お客さまへご案内します。
料金表
- サービス名
- CentOS 7 延長サポート
- 内容
- 1OSあたり
- 提供期間
- 2024/7/1〜2028/6/30
- 初期費用
- 0円
- 月間利用料
- 10,000円
※サービスの提供は2028年6月30日までを予定しております。契約期間の縛りはございません。
FAQ よくあるご質問
- プライベートクラウド環境で必要なライセンス数を教えてください。
ライセンス数は、パッチを適用するOS数とお考えください。ホストOS上にゲストOS1台が稼働の場合は、2ライセンス必要になります。
- 費用は月間利用料だけでしょうか?
事前に申し込みをいただく場合は初期費用は発生いたしません。ただし2024年8月以降に申し込みいただく場合は、サービス開始時からご利用いただくお客さまとの公平を保つため、サービス開始月(2024年7月)まで遡って費用をいただきます。そのため、純粋な初期費用ではありませんが、遡り分を初期費用として請求させていただきます。サービス開始後に申し込まれる場合も、その時点でリリースされている修正パッチを全て提供いたします。
- エンドユーザがいますが代理店として契約可能ですか?
本サービスについて、代理店(仕切り)価格での提供は⾏っておりませんが、お客さま/お客さまのエンドユーザさまどちらからもお申し込みが可能です。
- 見積書、納品書は毎月発行されますか?
見積書はお申し込み時のみにお送りしています。また、納品書はお送りしておりません。毎月請求書のPDFをメールにてお送りいたします。
- 修正パッチ適用に関する、技術的な問い合わせは受け付けていますか?
はい。受け付けております。ただし、お客さま環境に依拠する問題等については、回答できない場合もございます。あらかじめご了承ください。
お問い合わせ
サービスの導入・検討にあたってのご質問は、こちらから気軽にお問い合わせください。
Line up
「ベア」サービス ラインアップ「ベア」ブランドではさまざまなサービスを提供しています。
