対象のバージョン
LifeKeeper for Linux すべてのバーション
影響を受ける脆弱性
CVE-2025-40907
問題の概要
FCGIライブラリに脆弱性が見つかりました。影響を受けるバージョンでは、IPCソケットに送信されるデータ内の細工されたnameLenまたはvalueLen値により、ヒープベースのバッファオーバーフローが発生し、アプリケーションのクラッシュやその他の未定義の動作が発生する可能性があります。
LifeKeeper では steeleye-lighttpd-fastcgi パッケージで perl-FCGI とは別に影響を受けるバージョンの FCGI を利用しており、この脆弱性の対象となります。
対処
この脆弱性を悪用するためにはサーバー上の LifeKeeper のファイルに root権限でのアクセスが必要であるため、影響を受ける可能性は高くはありません。
その為、対処自体は必須ではない考えですが、対処方法としては以下 2つがございます。
どちらの対処を実施しても lkpolicy コマンドがご利用できなくなる影響が生じます。
どちらを推奨するということはなく、ご利用に合わせた実施のご検討をお願いいたします。
■ steeleye-lighttpd を停止する。
steeleye-lighttpd の停止は以下コマンドを実行します。
# /opt/LifeKeeper/sbin/sv stop steeleye-lighttpd
※steeleye-lighttpdは大文字小文字の判定がありますので上記のまま実行願います。
steeleye-lighttpd を停止すると lkpolicy コマンドが利用できなくなります。
ただし、steeleye-lighttpd を停止してもすでに設定したリソースポリシーは有効となります。
lkpolicy コマンドをご利用の場合はポリシーを変更する時のみ以下を実施してご設定ください。
# /opt/LifeKeeper/sbin/sv start steeleye-lighttpd
※LifeKeeper を再起動すると steeleye-lighttpd は自動的に起動するため、都度停止の実施が必要となります。
■ /opt/LifeKeeper/etc/lighttpd/conf.d/lkapi.conf ファイルを削除します。
(ファイルの変名での対応は行わないようにしてください。削除が難しい場合は別の場所に移動させてください)
ファイルを削除後、以下を実行して steeleye-lighttpd を再起動します。
# /opt/LifeKeeper/sbin/sv stop steeleye-lighttpd
# /opt/LifeKeeper/sbin/sv start steeleye-lighttpd
steeleye-lighttpd の再起動後、lkpolicy と lkapi がご利用できなくなります。
lkapi は lighttpd 上で CGI として動作し、LifeKeeper のリソースの状態を Web 上で取得出来る
ようにする機能を提供しておりますが、デフォルトでは無効となっております。
※LifeKeeper をアップデートした場合は、改めて lkapi.conf の削除(移動)が必要となります。
[初版] 2025/06/19
[更新] 随時