重大度: CRITICAL (重大) - 即時の対応が必要
PMM Open Virtual Appliance (OVA) のインストールで重大な脆弱性が特定され、それは不正なルートアクセスとシステム認証情報の潜在的な漏洩を可能にします。この脆弱性はCVE-2025-26701として追跡されています。
即時に必要なアクション
あなたのシステムが不正なルートアクセスや認証情報の盗難にさらされる可能性があります。あなたのインフラストラクチャを保護するために、すぐに次の手順を実行してください:
- PMM 3.0.0-1にすぐにアップグレードしてください (強く推奨)。
- 接続されたサービスとデータベースの全ての認証情報を変更してください。
- 不正アクセスの可能性がないかアクセスログを監査してください。
脆弱性の詳細
この脆弱性は、OVAプロビジョニングのデフォルトのサービスアカウント認証情報に起因しており、次のことが可能になります:
- 不正なSSHアクセス
- sudo機能を介したrootへの権限昇格
- サービス認証情報と設定の潜在的な漏洩
影響を受けるインストール
以下の表に、現在影響を受けることがわかっているデプロイメントを示します。追加の製品が特定された場合は、この表を更新します:
※ 以下は2025年2月20日時点の情報です。最新情報はhttps://docs.percona.com/percona-monitoring-and-management/3/release-notes/3.0.0_1.htmlをご確認ください。
| 影響を受けるデプロイメント | バージョン | 注記 |
| PMM Open Virtual Appliance (OVA) インストール | ≥ 2.38 |
| SSHアクセスの制限 |
| PMM OVAインストールでは、追加のセキュリティ強化対策を実装していない限り、ポート 22をパブリックインターネットに公開しないでださい。常にファイアウォール、VPN、またはその他の安全なリモートアクセス方法を使用してください。 |
緩和オプション
推奨: PMM 3.0.0-1へのアップグレード
このリリースでは、初期セットアップ時に不要なシステムアカウントを自動的に削除することで、OVAデプロイメントのセキュリティを強化しています。
あなたのシステムをセキュリティ保護するために、次の手順に従ってアップグレードしてください:
- Percona Webサイトから新しいOVAファイルをダウンロードして展開します。
- システムにログインします:
ssh admin@your-pmm-server - 次のコマンドを実行するために、rootに切り替えるか、sudoを使用します:
sudo -i
# または、各コマンドの前にsudoを使用します - 現在のインストールでサービスを停止します:
supervisorctl stop all - データをバックアップして転送します:
cd /home/admin/volume/srv
tar -cvf srv.tar . - scp経由でsrv.tarを新しいサーバーに転送します。
- 新しいインストールにデータを展開します:
# 全てのサービスを停止します
supervisorctl stop all# 既存のデータを消去します
cd /home/admin/volume/srv
rm -rf *# バックアップを抽出します
tar -xvf /home/admin/volume/srv.tar# 全てのサービスを開始します
supervisorctl start all - クライアントの接続が中断されないように、DNSレコードを更新するか、IPアドレスを交換します。
検証手順
アップグレード後、システムが正しく機能していることを確認します:
- サービスステータスをチェックして、PMM ClientとPMM Serverの両方が実行中であることを確認します:
supervisorctl status - クライアントの接続性を確認して、データフローを検証します。
- 基本的な監視タスクを実行して、システムの機能をテストします。
一時的: すぐにアップグレードできない場合
すぐにアップグレードできない場合は、脆弱性を軽減するために次の手順に従ってください:
- SSHアクセスのセキュリティ保護:
・ファイアウォールレベルでポート 22のアクセスをブロックします
・リモートアクセスが必要な場合は、特定のIPアドレスに制限します
・リモート管理にはVPNの使用を検討します - システムにログインします:
ssh admin@your-pmm-server - 次のコマンドを実行するために、rootに切り替えるか、sudoを使用します。
sudo -i
# または、各コマンドの前にsudoを使用します - 脆弱なアカウントを保護するためには、次のコマンドのいずれかを実行します:
・ログインを無効にします:
usermod -s /sbin/nologin vagrant
・アカウントをロックします:
passwd -l vagrant
・ユーザーを完全に削除します:
kill -9 $(pgrep -f vagrant)
userdel -r vagrant - サービス認証情報を更新します:
・データベース (MySQL、PostgreSQL、MongoDB) の監視ユーザーのパスワードを変更します
・作成したカスタムサービスアカウントを更新します
・監視対象サービスの認証トークンをローテーションします
・PMM設定で対応する認証情報を更新します
・SSHアクセスを設定します: PMM Configuration > Settings > SSH Keyで公開キーを追加します - 不正アクセスがないかシステムログを監視します。
Percona Monitoring and Management (PMM) 3.0.0-1 リリース情報(Percona社ウェブサイト):
https://docs.percona.com/percona-monitoring-and-management/3/release-notes/3.0.0_1.html
Perconaサポート・コンサルティング
Perconaサポート・コンサルティングサービスはPercona Serverをご利用頂いているお客様が安心してお使い頂くために専門的なサポートを提供するサービスです。