2026-05-10 の一覧へ戻るホーム
C パネルのブラックウィーク:4 万 4,000 サーバーに対する攻撃後、新たに発見された 3 つの脆弱性が修正されました。

2026/05/10 2:06

C パネルのブラックウィーク:4 万 4,000 サーバーに対する攻撃後、新たに発見された 3 つの脆弱性が修正されました。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

2026 年 5 月 8 日、cPanel は CVE-2026-29201、CVE-2026-29202、CVE-2026-29203 の 3 つの新たな脆弱性を対象とした緊急技術セキュリティリリース(TSR)を 2 回目としてリリースしました。これらの中で CVE-2026-29202 と CVE-2026-29203 は CVSS スコア 8.8 を持つ高深刻度です。CVE-2026-29202 は認証済みユーザーに対して create_user API を介して任意の Perl コードの実行を可能にし、CVE-2026-29203 は不安全なシンリンク処理を通じて権限昇格またはサービス拒否(DoS)を可能にします(CVE-2026-29201 は CVSS スコア 4.3 の任意ファイル読み取りです)。これらの問題は、ユーザー作成 API や管理インターフェース内のファイル読み込みメカニズムといったコア機能の弱点から生じています。緊急性は、2026 年 2 月下旬以降、認証されていないリモート攻撃者が全管理アクセスを可能にした CVE-2026-41940(CVSS 9.8)が引き起こした前のランサムウェア事件に由来します。パッチは 2026 年 5 月 7 日の事前開示メールの後に、2026 年 5 月 8 日 12:00 EST にリリースされました。管理者は 12:00 EST 以降に root ユーザーとして 

/scripts/upcp
を実行する必要があります。ピン止めされたティアの場合、
/scripts/upcp --force
を使用してください。CloudLinux 6 サーバーでは更新前に追加の構成ステップが必要です:
/etc/cpupdate.conf
sed -i "s/CPANEL=.*/CPANEL=cl6110/g"
を実行してから TSR を適用します。パッチ適用後、
/scripts/restartsrv_cpsrvd
で cPanel を再起動し、
/usr/local/cpanel/cpanel -V
でバージョンを確認してください。2026 年 2 月下旬から 2026 年 4 月 28 日の間にパッチ未適用のままのシステムについては、管理者は 2026 年 2 月 23 日からアクセスログを検査し、任意コード実行、権限昇格、サービス拒否攻撃への露出を評価するために悪意のある 
.sorry
ファイルをスキャンする必要があります。

本文

cPanel または WHM でサーバーを運用している方は、本記事を必ずお読みください。
2026 年 5 月 8 日、すなわち CVE-2026-41940 という認証バイパス脆弱性を悪用し、約 4 万 4,000 基の Web ホスティングサーバーが侵入され、ランサムウェアが展開された事件からわずか 10 日後に、cPanel は静かに第 2 の緊急セキュリティパッチを公開しました。今回のパッチは CVE-2026-29201、CVE-2026-29202、CVE-2026-29203 という 3 つの新規脆弱性を対象としています。そのうち 2 つの脆弱性は CVSS スコアが 8.8 とされており、これらは「重大度:高」に分類され、「深刻」というカテゴリーに僅差です。今回の件は、cPanel から 10 日以内に 2 回目となる技術的なセキュリティリリース(TSR)にあたります。
「2 週間不足の間に 2 回の緊急パッチが公開されたこと」は異例であり、かつ「史上最大の cPanel 攻撃から直後に発表されたというタイミング」からは、ランサムウェア事件をきっかけにコード審査が深化し、その過程で新たな問題が発見されたことが明らかになっています。

cPanel の TSR とは何か?

脆弱性の詳細に入る前に、文脈を補足する簡単な説明として:cPanel は、セキュリティパッチの公開準備ができている際に、標準化されたプロセスである「技術的なセキュリティリリース(TSR)」を採用しています。cPanel は事前に登録済みのお客様へ通知を行い、アップデートスケジュールや保守計画を立てるよう促します。CVE の番号は MITRE によって予約されていますが、パッチが公式に公開される直前まで完全な技術詳細は非公開(エンバーゴ)とされます。これは、対策パッチが利用可能になる前に脆弱性が悪用されるのを防ぐためです。
2026 年 5 月 7 日、WebPros 社は登録済みのお客様へ第 2 の TSR 事前開示メールを送信しました——10 日间に 2 回目を占める緊急通知です。パッチ自体は 2026 年 5 月 8 日の米国東部時間正午に公開されました。

3 つの新規脆弱性について

  • CVE-2026-29201 — 任意のファイル読み取り(CVSS 4.3)

    • 概要: 
      feature::LOADFEATUREFILE
      という管理系コマンド内で、機能ファイル名の入力検証が不十分であり、結果として「任意のファイルの読み取り」が可能になるという問題です。
    • 実務的な意味: 認証された攻撃者が、機能ファイル名のパラメータを操作することで、本来アクセス権限を持たないサーバー上のファイルを閲覧できてしまいます。これは直接ルート(root)へのアクセスを与えるわけではありませんが、取得される情報(設定ファイル、認証情報、内部パスなど)を用いて、より深刻な次の攻撃を実行する準備を整えることができます。
    • 深刻度: 中程度(CVSS 4.3)。他には劣る urgency ですが、現在の脅威環境を考慮すれば即座にパッチを適用する必要があります。

  • CVE-2026-29202 — 任意の Perl コード実行(CVSS 8.8)

    • 概要: 
      create_user
      という API コール内のプラグインパラメータの入力検証が不十分であり、既に認証されているアカウント所属のシステムユーザーとして「任意の Perl コードの実行」が可能になるという問題です。
    • 実務的な意味: この 3 つの中で最も危険です。認証されたユーザー(共有サーバー上のどのアカウントでも該当し得ます)は、
      create_user
      API を介して任意の Perl コードを注入できます。cPanel のコンテキスト下で実行される Perl コードには大きなシステムレベルへのアクセス権限を持ちます。したがって、共有ホスティング環境では、1 つのテナントがマシン全体に影響を与えるコードを実行できてしまいます。
    • 深刻度: 高(CVSS 8.8)。認証が必要ですが、共有ホスティング環境ではそのハードルは低く、どんなアカウントでも十分です。

  • CVE-2026-29203 — 不正なシンボリックリンクによる権限昇格(CVSS 8.8)

    • 概要: 
      chmod
      を通じて任意のファイルへのアクセス権限を変更してしまう「不審なシンボリックリンク処理」に関する脆弱性であり、結果としてサービス不能(DoS)や、場合によっては権限の昇格を引き起こします。
    • 実務的な意味: 機密システムファイルを指すシンボリックリンクを作成し、cPanel を経由して 
      chmod
      オペレーションをトリガーすることで、攻撃者は本来触れてはいけないファイルの権限を変更できてしまいます。もしシステムファイルがアクセス不能になった場合、それは権限の昇格やサービス不能に繋がります。
    • 深刻度: 高(CVSS 8.8)。CVE-2026-29202 と組み合わせた場合、これら 2 つの欠陥を連結して利用できます——まずコードを実行してシンボリックリンクを作成し、次に 
      chmod
      を通じて権限昇格を実行してより深いアクセスを得ることができます。

背景:cPanel に何が起きたのか?

これらの 3 つのパッチが、個々の CVSS スコアから推測される以上の重要性を持つ理由を理解するためには、直近 10 日间に起きた出来事を振り返る必要があります。2026 年 4 月 28 日、cPanel は CVE-2026-41940 に対する緊急パッチを公開しました。この脆弱性は CVSS スコアが 9.8 の認証バイパスであり、非認証の遠隔攻撃者が cPanel や WHM への管理アクセスを得られるものでした。
この欠陥は「ゼロデイ(Zero-day)」として積極的に悪用されており、悪用試行の日付は 2026 年 2 月下旬までさかのぼります——つまり、対策パッチが利用可能になる約 2 ヶ月前から攻撃者にとって先行期間があったことを意味します。

その結果は直ちに重大な被害をもたらしました。少なくとも 44,000 の cPanel が動作している IP アドレスが、継続的な攻撃によって侵害されました。ハッカーたちはこの欠陥を悪用し、サーバーに侵入して「Sorry」というランサムウェア変種用の Go ベースの Linux エンクリプターを展開しました。

10 日间の窓口に 2 回の緊急技術サポートリリースがあることは、セキュリティチームが認識する「集中的な是正サイクル」を示しています:まず重大なパッチが公開され、関連するコード経路に関するより深い審査が行われ、その過程で以前は発見されていなかった問題や優先度が低かった問題が表面化します。これは高プロファイルの事件が起きた後の異例なことではなく、実際には認証処理やセッション管理コードの加急再検討による予想される結果です。

言い換えると:CVE-2026-41940 の直後に CVE-2026-29201、29202、29203 が見つかったことは「不運」ではありません。それは cPanel が圧力下で自身のコードを審査した結果——そしてさらに多くの問題が見つかった—to に他なりません。今後さらなる開示がある可能性もあります。

パッチ適用の手順(ステップバイステップ)

  • 標準的なアップデート: 2026 年 5 月 8 日の米国東部時間正午以降、ルート権限でコマンドラインから 
    /scripts/upcp
    を実行します。これは cPanel の標準のティア機構を通じて最新の TSR を取り込みます。
  • もし自動更新が無効化されている場合、またはピン留めされたティア(Fixed Tier)に属している場合:
    /scripts/upcp --force
    を実行してください。
  • CloudLinux 6 サーバーの場合: 
    sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf
    を実行し、続いて 
    /scripts/upcp
    を実行してください。

パッチ適用後、cpsrvd を再起動します:

/scripts/restartsrv_cpsrvd

パッチ済みバージョンが動作しているか確認します:

/usr/local/cpanel/cpanel -V

cPanel の公式セキュリティアドバイザリーに記載されているパッチ済みリリースとバージョンが一致するかを確認し、その上でサーバーが保護されたと判断してください。

過去の侵害も確認すべきか?

2026 年 2 月下旬から 4 月 28 日の期間中に未パッチの cPanel を動作させていた場合は、単にパッチを適用するだけでなく、「潜在的に侵害された可能性がある」として調査を行う必要があります。推奨されるフォレンジック手順は以下の通りです:

  • 2026 年 2 月 23 日以降のアクセスログを遡って審査——予期せぬ IP アドレスから発せられた異常なセッション認証パターンの有無を確認するため、
    /usr/local/cpanel/logs/access_log
    /usr/local/cpanel/logs/login_log
    をチェックします。
  • ユーザーホームディレクトリに対して再帰的にスキャンを行い、
    .sorry
    拡張子のファイルが存在するか確認します。.sorry ファイルの存在はランサムウェアの展開を確認しており、単なるパッチ適用ではなく、完全なインシデント対応が必要です。

より広範な傾向

cPanel が現在直面していることは、Web ホスティングセキュリティ全体に影響を与えているより大きなトレンドの一部です。近年において最も著名だった Linux カーネル脆弱性のうちの 3 つ——Copy Fail(CVE-2026-31431)と Dirty Frag(CVE-2026-43284/43500)——は 4 月下旬から 5 月上旬にかけて、互いに 8 日间以内の期間に開示されました。cPanel ランサムウェア事件では 44,000 台を超えるサーバーが露見しました。そして今、最初の緊急パッチの数日後にさらに 3 つの cPanel CVE が登場しました。

このような脆弱性情報の開示の集中は偶然ではありません。AI を活用したセキュリティ研究によって、協調的な開示プロセスが処理できる速度よりも早く脆弱性が発見されるようになっています。攻撃者に脆弱性が知られつつ、実際のプロダクション環境で悪用されるまでの窓は、数週間で数日へと縮小しています。CVE-2026-41940 の場合、パッチが存在する何ヶ月も前に既に悪用が開始されてしまいました。

cPanel サーバーを運用する皆様にとっての運用上の含意は直接的です:自動更新をオンに保ち、パッチの確認を保守チェックリストの一部に組み込み、主要なインシデント発生後にはログレビューを省略できません。

まとめ・チェックリスト

  • 5 月 8 日の TSR を適用するために 
    /scripts/upcp
    を実行     🔴 即座に
  • パッチ適用後に cpsrvd を再起動 🔴 即座に
  • /usr/local/cpanel/cpanel -V
    でパッチ済みバージョンを確認     🔴 即座に
  • 2 月 23 日以降のアクセスログをレビュー 🟡 今日中
  • ホームディレクトリ内で 
    .sorry
    ファイルを検索     🟡 今日中
  • 自動 cPanel 更新がオフであればオンにする 🟡 今週内
  • どのアカウントが異常に 
    create_user
    API を利用していないかを確認する     🟡 今週内

情報源

同じ日のほかのニュース

一覧に戻る →

2026/05/09 21:00

スイス・インターネット・アーカイブ

## Japanese Translation: インターネット・アーカイブは、デジタル保存とすべての知識への普遍的アクセスというミッションを設立者ブルースター・カールが 30 年前に定めた、独立した非営利財団としてスイスのセント・ガレンに本部を置く「Internet Archive Switzerland」を立ち上げました。このハブは、カナダやヨーロッパなどを含むグローバルネットワーク内で活動し、セント・ガレンに千年以上の学術的アーカイビングとイノベーションの伝統を持つことを活用して、レジリエントな地域図書館を創出します。初期の取り組みでは、危機にあるグローバルなアーカイブを保存すること、および現在の生成 AI の波に関連するデジタルコンテンツを収集することに注力します。重要なパートナーシップとして、ダミアン・ボース教授を率いるセント・ガレン大学工学部のコンピューターサイエンス学科との連携により、急速に進化する AI モデル向けの基準を確立する専門的な「Gen AI Archive」を設立します。これらの取り組みはさらに発展し、2026 年 11 月にパリで開催予定のユネスコ会議において、危機にあるアーカイブに対する保護方法について議論される予定です。実行責任者であるローマン・グリースフェルダー氏は、セント・ガレンが文化遺産に関して「安定性とイノベーションは両輪」と述べ、ユニークに安定性とイノベーションのバランスを維持していると指摘します。新しい財団は、より広範なグローバル使命に奉仕する地元のデジタル歴史保存にとって強力な先例を設定します。詳細は https://internetarchive.ch/ でアクセス可能です。 ## Text to translate: The Internet Archive has launched Internet Archive Switzerland, a new independent non-profit foundation based in St. Gallen dedicated to digital preservation and universal access to all knowledge—a mission established by founder Brewster Kahle 30 years ago. Operating within a global network that includes Internet Archive Canada and Europe, this hub leverages St. Gallen's thousand-year tradition of scholarly archiving and innovation to create a resilient regional library. Initial work will focus on saving endangered global archives and collecting digital content related to the current generative AI wave. A key partnership with the University of St. Gallen's School of Computer Science, led by Professor Damian Borth, will establish a specialized Gen AI Archive to set standards for rapidly evolving AI models. These efforts will be further explored at a UNESCO conference in November 2026 in Paris regarding protection methods for endangered archives. Executive Director Roman Griesfelder notes that St. Gallen uniquely balances stability with innovation, stating, "stability and innovation go hand in hand" regarding cultural heritage. The new foundation sets a powerful precedent for local digital history preservation serving a broader global mission, accessible at https://internetarchive.ch/.

2026/05/10 2:52

Show HN: Go で作成した、Clojure に似た言語を公開します。起動までの時間はわずか 7 ミリ秒です。

## Japanese Translation: Let-go は、Clojure に類似する言語のために設計されたバイトコードコンパイラおよび仮想マシンであり、同ファミリー内で最小で最も起動が速い選択肢を目指しています。コードを外部インフラストラクチャなしで動作するスタンドアロンのバイナリまたは WebAssembly アプリケーションに直接コンパイルします。主要なパフォーマンス指標には、約 10MB のバイナリサイズ、約 6-7ms のコールドスタート、低いアイドルメモリ使用量(約 14MB)が含まれ、これにより Babashka、GraalVM native、Joker、標準的な JVM 環境と比較して著しく小さく高速化しています。 このツールは、`core`、`core.async`、HTTP、JSON などのほぼすべてのコア Clojure ライブラリ(マクロ、プロトコル、トランスデューサー、永続データ構造など)をサポートし、標準的な `clojure-test-suite` の 95.4% を通過する強力な互換性を提供します。`core.async` チャンネル、HTTP サーバー、JSON/Transit、IO、およびバイナリプロトコル経由の Babashka pod の読み込み(データベース、AWS、Docker など)を含む「ボックスセット」機能をサポートしています。高度な機能としては、Go との相互運用性があり、Go アプリケーションへの埋め込みをサポートし、機能マッピングと双方向の呼び出しを可能にします。 展開オプションは柔軟です:ユーザーは Homebrew または Go モジュールを使用して自己完結型のバイナリを作成したり、ターミナルエミュレーションを含むブラウザ実行のための WebAssembly にコンパイルしたり、Emacs、VS Code、Neovim などのリッチなエディタサポートのための nREPL サーバーを利用できます。非常に効率的ですが、標準的な Clojure/Java ランタイムに見られる特定の機能(Refs/STM は atoms+channels で置き換えられ、Spec、`deftype`、読み込みタグ付きリテラル `#inst` など)は除外されています。 ## Text to translate: ## Summary: Let-go is a bytecode compiler and virtual machine for a language resembling Clojure, designed to be the smallest and fastest-starting option in the family. It compiles code directly into standalone binaries or WebAssembly applications that require no external infrastructure to run. Key performance metrics include a ~10MB binary with approximately 6-7ms cold starts and low idle memory usage (~14MB), making it significantly smaller and faster than alternatives like Babashka, GraalVM native, Joker, and standard JVM environments. The tool offers robust compatibility by supporting nearly all core Clojure libraries (including `core`, `core.async`, HTTP, JSON) and features like macros, protocols, transducers, and persistent data structures, passing 95.4% of the standard `clojure-test-suite`. It enables "batteries included" functionality with support for `core.async` channels, HTTP servers, JSON/Transit, IO, and Babashka pod loading (e.g., databases, AWS, Docker) over a binary protocol. Advanced features include Go interop, allowing embedding in Go apps with feature mapping and bidirectional calls. Deployment options are flexible: users can create self-contained binaries via Homebrew or Go modules, compile to WebAssembly for browser execution with terminal emulation, and utilize an nREPL server for rich editor support (Emacs, VS Code, Neovim). While highly efficient, it excludes certain features found in standard Clojure/Java runtimes, such as Refs/STM (replaced by atoms+channels), Spec, `deftype`, and reader tagged literals like `#inst`.

2026/05/10 6:46

リスト風の Rust

## Japanese Translation: RLisp は、Rust のパフォーマンスと安全性を享受しつつ、LISP の S 式構文の可読性をもたらすための独自のソリューションを提供します。`rustc` を介して直接ネイティブバイナリにコンパイルされるため、ランタイム環境やガーベジコレクターの使用は不要となり、所有権、借用、ライフタイム、ジェネリック、トレイト、パターンマッチングなど、Rust のコア機能を完全にサポートしています。インストールは簡単で、GitHub リポジトリをクローン(`git clone https://github.com/ThatXliner/rlisp.git`)し、`cargo install --path .` を実行するだけです。このツールには、LISP ファイルを変数化するためのコマンドラインユーティリティ(`rlisp compile`)、ビルド(`rlisp build`)、実行(`rlisp run`)が組み込まれています。開発者は非対応の機能のために生の Rust コードをそのまま使用するために `(rust "...")` フォームを採用でき、マクロは Runt のプロシージャルマクロに依存せず、`(quasiquote)`、`(unquote)`、`(unquote-splicing)` などの慣れ親しんだ LISP 構造体を利用してコンパイル時の変換を実行できます。`&rest` でキャプチャされた可変引数は `unquote-splicing` を使用してマクロ出力に平坦化できます。言語は `(while ...)`、`(loop ...)`、`(for ...)` などを含む標準制御構造と解像度付きイテレータをサポートし、型注釈を受け取る typed クロージャ(例:`((x i32) (y i32)) -> i32`)および引数を明示的に移動するための `move` キーワードを提供します。可視性修飾子は Rust の慣習に従います(`pub`、`pub(crate)`、`pub(super)`)。このプロジェクトは MIT ライセンスでリリースされており、マクロ開発を簡素化し、バランスの取れた括弧の構造的編集を可能にし、Rust セマンティクスを低い構文障壁で提供することを目的としています。