Alibaba Cloud AWS Azure Google Cloud セキュリティ

Azure、AWS、GCP、Alibaba CloudのCPU脆弱性対応のまとめ

くどうです

CPUの脆弱性が公開されて各クラウドベンダーが対応し始めたのでまとめ。
(詳細は各自調べてください)

脆弱性には以下のCVEが割り当てられています。

Reading privileged memory with a side-channel
https://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html

      • bounds check bypass (CVE-2017-5753)
      • branch target injection (CVE-2017-5715)
      • rogue data cache load (CVE-2017-5754)

 

CVE-2017-5753
https://access.redhat.com/security/cve/cve-2017-5753
CVE-2017-5715
https://access.redhat.com/security/cve/cve-2017-5715
CVE-2017-5754
https://access.redhat.com/security/cve/CVE-2017-5754

脆弱性の確認方法が公開された模様です(2018/01/09)
https://news.mynavi.jp/article/20180109-linux_vulnerability/

Azure

Azureは、既にハイパーバイザーベースでの対応が行われており再起動することで対応可能となっています。
もともと計画済みのセルフメンテナンス期間でしたが、前倒しして再起動が行われています。
また、更新によりネットワークパフォーマンスに影響受ける可能性が一部にあるため、その場合にはAzureの高速ネットワーク機能を有効化することで解消されるとあります。

CPU の脆弱性から Azure のお客様を保護するために
https://blogs.technet.microsoft.com/jpaztech/2018/01/04/securing-azure-customers-from-cpu-vulnerability/

Securing Azure customers from CPU vulnerability
https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

ADV180002 | Vulnerability in CPU Microcode Could Allow Information Disclosure
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

各OSのアップデートについては触れられていないがアップデートするのが良いと思います。
あとACSやAKSなんかも影響を受ける可能性もあるのでは、VMですよねあれ。

追記(2018/01/05)

パフォーマンス影響について

VM上のSQL Serverのパフォーマンス影響については下記を参考してください。
SQL Server Guidance to protect against speculative execution side-channel vulnerabilities
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

アンチウイルスソフトとアップデートの問題がWindows10(kb4056890)ですが報告されています。
https://support.microsoft.com/en-us/help/4056890/windows-10-update-kb4056890

トレンドマイクロさんの方が分かりやすいので下記を参考。
弊社製品をご利用の一部環境における2018年1月以降のWindows Updateに関して
https://success.trendmicro.com/jp/solution/1119190

AWS

AWSは、インフラストラクチャーで保護する一方で、保護を完璧にするよう各OS、ソフトウェアでパッチをあてる様推奨しています。
https://aws.amazon.com/jp/security/security-bulletins/AWS-2018-013/

Amazon Linux AMI(Bulletin ID:ALAS-2018-939)
は更新はKernelのアップデートが発生するため再起動が必要になるかと思います。

追記(2018/01/05)

Recommended Customer Actions for AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, and Amazon Lightsail
影響範囲が拡大しています。

WorkSpacesを展開している場合も再起動の影響がでますね。
基本、週末メンテナンスでアップデートされるようですがBYOLの場合は自力でアップデート必要。
詳しくは上記のURLより確認をお願いします。

GCP

Google全体のCPUの脆弱性範囲についてまとめられたページが以下です。

Google’s Mitigations Against CPU Speculative Execution Attack Methods
https://support.google.com/faqs/answer/7622138
GCPのユーザー側の影響範囲は
Google Cloud Dataflow
Google Cloud Datalab
Google Cloud Dataproc
Google Cloud Launcher
Google Cloud Machine Learning Engine
Google Kubernetes Engine

Alibaba Cloud

Alibaba Cloudの情報もでてきたので追記(2018/01/06)

Alibaba cloudもIntelと事前協議により対応を進めていたようなので
2018年1月13日 午前1:00(日本時間)までに完了する予定。
ただし、hot upgrades出来ない一部のユーザーに対しては連絡済み。

Alibaba Cloud 重要なセキュリティ情報に関するお知らせ
https://jp.alibabacloud.com/notice/security-update-20180105

[Important Notice] January 12 Alibaba Cloud Platform Security Update Notice
https://www.alibabacloud.com/notice/platform_01_03?spm=a3c0i.7927650.199781.1.7ac7f5215tuiW5

【重要通知】1月12日阿里云平台安全升级通告
https://www.alibabacloud.com/zh/notice/platform_01_03?spm=a3c0i.7927650.199781.1.7ac7f5215tuiW5

まとめ
CPUの脆弱性の各ベンダーの対応はハイパーバイザー、インフラストラクチャー側で既に対応しているためゲスト側でもパッチを適用し完全に保護することが推奨されています。
個人的には再起動を伴うケースが多いため一緒にやってしまった方が楽かもしれません。

-Alibaba Cloud, AWS, Azure, Google Cloud, セキュリティ
-, , , ,