AlibabaCloud

Azure、AWS、GCP、Alibaba CloudのCPU脆弱性対応のまとめ

くどうです

CPUの脆弱性が公開されて各クラウドベンダーが対応し始めたのでまとめ。
(詳細は各自調べてください)

脆弱性には以下のCVEが割り当てられています。

Reading privileged memory with a side-channel
https://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html

      1. bounds check bypass (CVE-2017-5753)
      1. branch target injection (CVE-2017-5715)
      1. rogue data cache load (CVE-2017-5754)

 

CVE-2017-5753
https://access.redhat.com/security/cve/cve-2017-5753
CVE-2017-5715
https://access.redhat.com/security/cve/cve-2017-5715
CVE-2017-5754
https://access.redhat.com/security/cve/CVE-2017-5754

脆弱性の確認方法が公開された模様です(2018/01/09)
https://news.mynavi.jp/article/20180109-linux_vulnerability/

Azure

Azureは、既にハイパーバイザーベースでの対応が行われており再起動することで対応可能となっています。
もともと計画済みのセルフメンテナンス期間でしたが、前倒しして再起動が行われています。
また、更新によりネットワークパフォーマンスに影響受ける可能性が一部にあるため、その場合にはAzureの高速ネットワーク機能を有効化することで解消されるとあります。

CPU の脆弱性から Azure のお客様を保護するために
https://blogs.technet.microsoft.com/jpaztech/2018/01/04/securing-azure-customers-from-cpu-vulnerability/

Securing Azure customers from CPU vulnerability
https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

ADV180002 | Vulnerability in CPU Microcode Could Allow Information Disclosure
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

各OSのアップデートについては触れられていないがアップデートするのが良いと思います。
あとACSやAKSなんかも影響を受ける可能性もあるのでは、VMですよねあれ。

追記(2018/01/05)

パフォーマンス影響について

VM上のSQL Serverのパフォーマンス影響については下記を参考してください。
SQL Server Guidance to protect against speculative execution side-channel vulnerabilities
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

アンチウイルスソフトとアップデートの問題がWindows10(kb4056890)ですが報告されています。
https://support.microsoft.com/en-us/help/4056890/windows-10-update-kb4056890

トレンドマイクロさんの方が分かりやすいので下記を参考。
弊社製品をご利用の一部環境における2018年1月以降のWindows Updateに関して
https://success.trendmicro.com/jp/solution/1119190

AWS

AWSは、インフラストラクチャーで保護する一方で、保護を完璧にするよう各OS、ソフトウェアでパッチをあてる様推奨しています。
https://aws.amazon.com/jp/security/security-bulletins/AWS-2018-013/

Amazon Linux AMI(Bulletin ID:ALAS-2018-939)
は更新はKernelのアップデートが発生するため再起動が必要になるかと思います。

追記(2018/01/05)

Recommended Customer Actions for AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, and Amazon Lightsail
影響範囲が拡大しています。

WorkSpacesを展開している場合も再起動の影響がでますね。
基本、週末メンテナンスでアップデートされるようですがBYOLの場合は自力でアップデート必要。
詳しくは上記のURLより確認をお願いします。

GCP

Google全体のCPUの脆弱性範囲についてまとめられたページが以下です。

Google’s Mitigations Against CPU Speculative Execution Attack Methods
https://support.google.com/faqs/answer/7622138
GCPのユーザー側の影響範囲は
Google Cloud Dataflow
Google Cloud Datalab
Google Cloud Dataproc
Google Cloud Launcher
Google Cloud Machine Learning Engine
Google Kubernetes Engine

Alibaba Cloud

Alibaba Cloudの情報もでてきたので追記(2018/01/06)

Alibaba cloudもIntelと事前協議により対応を進めていたようなので
2018年1月13日 午前1:00(日本時間)までに完了する予定。
ただし、hot upgrades出来ない一部のユーザーに対しては連絡済み。

Alibaba Cloud 重要なセキュリティ情報に関するお知らせ
https://jp.alibabacloud.com/notice/security-update-20180105

[Important Notice] January 12 Alibaba Cloud Platform Security Update Notice
https://www.alibabacloud.com/notice/platform_01_03?spm=a3c0i.7927650.199781.1.7ac7f5215tuiW5

【重要通知】1月12日阿里云平台安全升级通告
https://www.alibabacloud.com/zh/notice/platform_01_03?spm=a3c0i.7927650.199781.1.7ac7f5215tuiW5

まとめ
CPUの脆弱性の各ベンダーの対応はハイパーバイザー、インフラストラクチャー側で既に対応しているためゲスト側でもパッチを適用し完全に保護することが推奨されています。
個人的には再起動を伴うケースが多いため一緒にやってしまった方が楽かもしれません。

Related post

  1. Azure

    Azure Active Directory のBasic とかPremium とかのライセンスって…

    はじめにくどうです。Azure Active Direct…

  2. AWS

    Google Stackdriver でAWSと連携してみた。これイイです!

    はじめにくどうです。Google Stackdriver …

  3. AWS

    VPC Peering、Direct Connectで同セグメントの通信を実現する方法。

    はじめにくどうです。今回は、AWSの話です。VPC同士…

  4. Azure

    Active DirectoryをASMからARMに移行する方法を考える。

    はじめにくどうです。何かと仮想マシンでActive Dir…

  5. AWS

    超メモ:AWSでのSysprep回数についてどうなってるか

    はじめにくどうです。以下は超メモです。AWSでSysprepは何…

  6. Azure

    仮想マシンのコア数制限について。

    コア数の制限くどうです。ちょっとハマったのでメモ。…

Comment

  1. No comments yet.

  1. January 9th, 2018
  1. 未分類

    超メモ:Windows 10 IoTで使えるコマンドレット
  2. Azure

    Azureの公式ドキュメントを更新しよう!だれでも更新できるんですよ。
  3. 未分類

    CentOSにHinemosをインストールする方法(4) クライアント編
  4. 未分類

    drbdの起動方法
  5. 未分類

    XREAで構築したEC-CUBEでメールが送れない
PAGE TOP