Amazon Web Services ブログ

プロセッサの投機的実行に関する調査の公開について

【日本語訳】日本時間 2018年02月14日19:30

関連する CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
日本時間 2018年02月06日09:30

以下は本件に関するアップデートです。

Amazon Linux 用の更新されたカーネルは、Amazon Linux のリポジトリにて入手できます。2018年1月13日以降にデフォルトの Amazon Linux 設定で起動された EC2 インスタンスには自動的に最新のパッケージが含まれています。 最新のパッケージでは、 CVE-2017-5715 に対処するための安定版オープンソース Linux セキュリティの改善がカーネル内に組み込まれています。また 以前取り込まれた CVE-2017-5754 に対処するカーネルページテーブルアイソレーション(KPTI)にもとづいて作成されています。インスタンス内の CVE-2017-5715 のプロセスープロセス間の問題と CVE-2017-5754 のプロセスーカーネル間の問題を効果的に軽減するには、最新の Amazon Linux カーネルまたは AMI にアップグレードする必要があります。詳細は「プロセッサの投機的実行 – オペレーティングシステムの更新」を参照してください。

para-virtualized(PV)インスタンスについては、以下の「PV インスタンスガイダンス」の情報を参照してください。

 

Amazon EC2

 

Amazon EC2 のすべてのインスタンスは、CVE-2017-5715、CVE-2017-5753、および CVE-2017-5754 に記載されたインスタンス間の既知の問題すべてから保護されています。インスタンス間での問題は、インスタンスまたは AWS ハイパーバイザーのメモリを近隣の別のインスタンスから読み取ることができると想定しています。この問題は AWS ハイパーバイザーでは解決されており、インスタンスは別のインスタンスのメモリを読み取ることも、AWS ハイパーバイザーのメモリを読み取ることもできません。 以前からお知らせの通り、大多数の EC2 ワークロードに有意なパフォーマンスの影響は見られていません。

インテルマイクロコードの更新によって極稀にクラッシュ等の予期せぬ動作が見られた AWS のプラットフォーム向けに、2018年1月12日時点で新規のインテル CPU マイクロコードの一部を無効化しました。この変更により、該当していた少数のインスタンスでの問題が緩和されました。

 

次のサービスをお使いのお客様への推奨アクション: AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, Amazon Lightsail

 

お客様のすべてのインスタンスは上記のように保護されていますが、この問題のプロセスープロセス間またはプロセスーカーネル間の問題に対処するために、インスタンス内のオペレーティングシステムにパッチを当てることをお勧めします。Amazon Linux および Amazon Linux 2、CentOS、Debian、Fedora、Microsoft Windows、Red Hat、SUSE、および Ubuntu の詳しいガイダンスと手順については、「プロセッサの投機的実行 – オペレーティングシステムの更新」を参照してください。

 

PV インスタンスガイダンス

 

この問題で利用可能なオペレーティングシステムのパッチに関する継続的な調査と詳細な分析の結果、オペレーティングシステムの保護が、準仮想化(PV)インスタンス内のプロセス間の問題に対処するには不十分であると判断しました。 PV インスタンスは、前述のようにインスタンス間の問題について AWS ハイパーバイザーによって保護されます。しかしながら、PV インスタンスにおけるプロセスの分離(信頼できないデータ処理やコードの実行、ユーザのホスト)にご懸念をお持ちでしたら、長期的に見てセキュリティの恩恵を受けるため、HVM インスタンスタイプへの変更を強くお勧めします。

PVとHVM(およびインスタンスアップグレードパスのドキュメント)の相違点の詳細については、以下を参照してください:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

PVインスタンスのアップグレードパスに関する支援が必要な場合は、サポートにお問い合わせください。

 

他のAWSサービスのアップデート

 

次のサービスでは EC2 インスタンスのパッチ適用はお客様に代わって AWS 側で管理されますが、すべての作業を完了しております。お客様の対応は必要ありません。

  • Fargate
  • Lambda

以下で別途記載しない限り、他のすべての AWS サービスにおいてお客様の対応は必要ありません。

 

ECS Optimized AMI

 

上この問題に対するすべての Amazon Linux 保護を組み込んだ Amazon ECS Optimized AMI バージョン 2017.09.g をリリースしました。 Amazon ECS をご利用のすべてのお客様は、AWS Marketplaceで入手可能なこの最新バージョンにアップグレードすることをお勧めします。

既存の ECS Optimized AMI インスタンスをそのまま更新することを選択したお客様は、次のコマンドを実行して、最新のパッケージを確実に受け取るようにする必要があります。
sudo yum update kernel
通常の Linux カーネルのアップデートと同様に、yum による更新が完了した後、アップデートを有効にするには再起動が必要です。

ECS Optimized AMI を使用していない Linux をご利用のお客様は、必要に応じて、サードパーティのオペレーティングシステム、ソフトウェア、または AMI のベンダーに相談し、アップデートや必要な手順を実施することをお勧めします。 Amazon Linux に関する情報は、Amazon Linux AMI セキュリティセンターで入手できます。

Amazon ECS Optimized Windows AMI バージョン 2018.01.10 をリリースしました。実行中のインスタンスにパッチを適用する方法の詳細については、「プロセッサの投機的実行 – オペレーティングシステムの更新」を参照してください。

 

 Elastic Beanstalk

 

この問題に対するすべての Amazon Linux の保護機能を含むように、すべての Linux ベースのプラットフォームを更新しました。特定のプラットフォームのバージョンについては、リリースノートを参照してください。Elastic Beanstalk をお使いのお客様には、環境を利用可能な最新のプラットフォームバージョンに更新することをお勧めします。マネージドプラットフォーム更新を使用する環境は、設定されたメンテナンスウィンドウ中に自動的に更新されます。

Windows ベースのプラットフォームも、この問題に対するすべての EC2 Windows の保護機能を含むように更新されました。お客様には、Windows ベースの Elastic Beanstalk 環境を利用可能な最新のプラットフォーム構成に更新することをお勧めします。

 

ElastiCache

 

ElastiCache が管理するお客様のキャッシュノードは、それぞれ単一のお客様向けのキャッシュエンジンの実行にのみ使用されます。他のお客様からアクセス可能なプロセスはなく、基盤となるインスタンスでお客様がコードを実行する機能も持ちません。AWS は ElastiCache の基盤となるすべてのインフラストラクチャの保護を完了したため、この問題のプロセスーカーネル間およびプロセスープロセス間にリスクはありません。ElastiCache がサポートするキャッシュエンジン (Memcached / Redis) では、現時点で既知のプロセス内の問題は報告されていません。

 

EMR

 

Amazon EMR はお客様に代わって Amazon Linux を実行する Amazon EC2 インスタンスのクラスタをアカウント内に立ち上げます。Amazon EMR クラスタのインスタンス内でのプロセス分離に懸念を持つお客様は、上記の推奨通り、最新の Amazon Linux カーネルにアップグレードする必要があります。AWS は最新の Amazon Linux カーネルを 5.11.1、 5.8.1、5.5.1、および 4.9.3 の新しいマイナーリリースに取り入れました。お客様は、これらのリリースで新しい Amazon EMR クラスタを作成できます。

現在の Amazon EMR リリースおよび関連する実行中のインスタンスについては、上記で推奨されているように最新の Amazon Linux カーネルにアップデートすることをお勧めします。新しいクラスタの場合、お客様はブートストラップアクションを使用して Linux カーネルを更新し、各インスタンスをリブートすることができます。実行中のクラスタをご利用のお客様は、クラスタ内の各インスタンス毎で順次、Linux カーネルの更新と再起動を行うことが可能です。プロセスを再起動すると、クラスタ内の実行中のアプリケーションに影響する可能性がある点にご注意ください。

 

RDS

 

RDS のデータベースインスタンスは、単一のお客様のデータベースエンジンにのみに使用されます。他のお客様からアクセス可能なプロセスはなく、またお客様が基盤となるインスタンスでコードを実行することはできません。 AWS は RDS の基盤となるすべてのインフラストラクチャの保護を完了したので、本問題で懸念されているプロセスーカーネル間やプロセスープロセス間の問題は、リスクとはなりません。 RDS がサポートするほとんどのデータベースエンジンでは、現時点でプロセス内での既知の問題が報告されていません。 データベースエンジン固有の追加の詳細は以下に記載します。特に明記しない限り、お客様の対応は必要ありません。

RDS での SQL Server データベースインスタンス用に、Microsoft のパッチを含む OS およびエンジンパッチを、次のエンジンバージョンでリリースしました。

SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)

お客様はこれらのパッチの適用に関する Microsoft のガイダンスを検討し、お客様が日時を指定してパッチを適用する必要があります:

https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

RDS PostgreSQL および Aurora PostgreSQL の場合、デフォルト設定で実行されているDBインスタンスには現在、お客様の対応は必要ありません。 plv8 拡張をお使いのお客様には、利用可能になり次第、適切なパッチを提供します。 それまでの間、plv8 拡張機能(デフォルトでは無効)を有効にしているお客様は、無効にすることを検討し、V8 からのガイダンスを参照してください:

https://github.com/v8/v8/wiki/Untrusted-code-mitigations

RDS for MariaDB、RDS for MySQL、Aurora MySQL、およびRDS for Oracle のデータベースインスタンスでは、現在のところお客様の対応は必要ありません。

 

VMware Cloud on AWS

 

VMware 社によると、「VMSA-2018-0002 に記載されている修正は、2017年12月初旬から AWS の VMware Cloud にて提供されています。」

詳細については、VMware Security&Compliance のブログを参照してください。最新のステータスについては、以下を参照してください。

https://status.vmware-services.io

 

WorkSpaces

 

Windows Server 2008 R2 上で Windows 7 エクスペリエンスをご利用のお客様:

Microsoft は、本問題のための Windows Server 2008 R2 の新しいセキュリティ更新プログラムをリリースしました。Microsoft のセキュリティ更新プログラムに記載の通り、これらの更新プログラムを正常に配信するには、サーバー上で実行されているウイルス対策ソフトウェアに互換性が必要です:

https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software

WorkSpaces をご利用のお客様は、これらのアップデートを入手するために対応が必要です。Microsoft が提供する以下の指示に従ってください:

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-specational-execution

Windows Server 2016 上で Windows 10 エクスペリエンスをご利用のお客様:

AWS は、Windows Server 2016 上で Windows 10 を実行している WorkSpaces にセキュリティアップデートを適用しました。Windows 10 には、これらのセキュリティアップデートと互換性のある Windows Defender AntiVirus ソフトウェアが組み込まれています。その他にお客様の対応は必要ありません。

BYOL およびデフォルトの更新設定を変更されたお客様:

WorkSpaces Bring Your Own License(BYOL)機能を使用しているお客様、および WorkSpaces のデフォルトの更新設定を変更したお客様は、Microsoft が提供するセキュリティ更新プログラムを手動で適用する必要があります。もし該当する場合は、Microsoft のセキュリティ勧告の指示に従ってください。

https://portal.msrc.microsoft.com/jp/security-guidance/advisory/ADV180002

セキュリティアドバイザリには、Windows Server と Client の両方のオペレーティングシステムに関するナレッジベースの記事へのリンクが含まれており、さらに詳しい情報が提供されています。

更新された WorkSpaces バンドルは、セキュリティアップデートにより、まもなく利用可能になります。 カスタムバンドルを作成したお客様は、バンドルを更新して、セキュリティアップデートを含める必要があります。 更新プログラムが含まれないバンドルから起動された新しい WorkSpaces は、WorkSpaces のデフォルトの更新設定を変更しない限り、起動後すぐにパッチを受け取ることになります。デフォルトの設定を変更した場合、上記手順に従ってMicrosoft が提供するセキュリティ更新プログラムを手動で適用する必要があります。

 

WorkSpaces Application Manager (WAM)

 

お客様には、以下のいずれかの方法を選択することをお勧めします。

オプション1:Microsoftが提供する手順に従い、実行中の WAM Packager および Validator のインスタンスに手動で Microsoft パッチを適用します。

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

このページには、詳細な手順とダウンロードのリンクが記載されています。

オプション2:既存の Packager インスタンスと Validator インスタンスを終了します。「Amazon WAM Admin Studio 1.5.1」および「Amazon WAM Admin Player 1.5.1」と表示された、更新された AMI を使用して新しいインスタンスを起動します。

 

上記はAWS Japan Security Awareness Teamによって翻訳されました。原文は以下です:

https://aws.amazon.com/jp/security/security-bulletins/AWS-2018-013/

内容は随時更新するため、最新情報は原文の内容を正としてご参照ください。