Amazon Web Services ブログ
プロセッサの投機的実行 – オペレーティングシステムの更新
モダンコンピュータプロセッサ上で投機的実行によるサイドチャネル分析の調査が新しく公開されたのを受け、AWS は AWS Security Bulletin(セキュリティ情報)AWS-2018-013 を先日公開しました。このセキュリティ情報では、CVE-2017-5715、CVE-2017-5753、および CVE-2017-5754 の3つのセキュリティ勧告に触れています。これらの勧告は Google Project Zero の調査に基づいたもので、Google Project Zero の発表はモダンコンピュータプロセッサ上でのサイドチャネル分析の新しい方法を発見したというものでした。これらの方法は、基礎的な技術、具体的には投機的実行に着目したもので、投機的実行は多くのベンダーのプロセッサに用いられています。そのため研究結果の対象となる範囲は幅広く、その範囲はハイパーバイザーからオペレーティングシステム、さらには Web ブラウザ、携帯電話からクラウドを構成するデータセンター内のサーバにまで及びます。
EC2 インスタンスの分離
Amazon EC2 のすべてのインスタンスは、上述の CVE に記載されたインスタンス間の既知の問題すべてから保護されています。インスタンス間での問題は、インスタンスまたは AWS ハイパーバイザーのメモリを近隣の別のインスタンスから読み取ることができると想定しています。この問題は AWS ハイパーバイザーでは解決されており、インスタンスは別のインスタンスのメモリを読み取ることも、AWS ハイパーバイザーのメモリを読み取ることもできません。 大多数の EC2 ワークロードに有意なパフォーマンスの影響は見られていません。
オペレーティングシステムへのパッチ
現代のオペレーティングシステムには、「ユーザー空間」プロセスからのカーネル分離、それぞれのプロセスの分離などの、いくつかのタイプのプロセス分離があります。影響を受けうるプロセッサ上でオペレーティングシステムが実行されている環境では、いかなる設定においても、公開された 3 つの問題すべてがプロセス分離に影響を与える可能性があります。ハイパーバイザで実装されている保護は、オペレーティングシステム内のプロセスレベルの分離にまで拡張されないため、リスクを軽減するためにオペレーティングシステムパッチが必要です。
準仮想化(PV)インスタンスでは、CVE-2017-5754 のプロセス間の問題に対処するためのオペレーティングシステムレベルの保護は無いことに注意してください。PV インスタンスは、前述のようにインスタンス間の問題について AWS ハイパーバイザーによって保護されます。しかしながら、PV インスタンスにおけるプロセスの分離(信頼できないデータ処理やコードの実行、ユーザのホスト)にご懸念をお持ちでしたら、長期的に見てセキュリティの恩恵を受けるため、HVM インスタンスタイプへの変更を強くお勧めします。PVとHVMの相違点(およびインスタンスアップグレードパスのドキュメント)の詳細については、以下の URL を参照してください。
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
インスタンスのオペレーティングシステムにパッチを適用することで、同じインスタンス内で動作するソフトウェアを分離し、CVE-2017-5754 のプロセス間の問題を緩和することを強く推奨します。以下のオペレーティングシステムのパッチの詳細を記載します。
- Amazon Linux & Amazon Linux 2
- CentOS
- Debian
- Fedora
- Microsoft Windows
- Red Hat
- SUSE
- Ubuntu
Amazon Linux & Amazon Linux 2
Amazon Linux 用の更新されたカーネルは、Amazon Linux のリポジトリにて入手できます。 2018年1月8日以降にデフォルト設定で Amazon Linux が起動された EC2 インスタンスには、自動的に最新のパッケージが含まれています。カーネルは 4.9.76 またはそれ以降のバージョンとなっており、KPTI のバグに対処したほか、CVE-2017-5754 と CVE-2017-5715 の軽減策を改善しています。
注:インスタンス内の CVE-2017-5754 および CVE-2017-5715 の問題を効果的に軽減するには、最新の Amazon Linux カーネルまたは AMI にアップグレードする必要があります。私たちは引き続きAmazon Linux を改善し、Amazon Linux AMI のアップデートを提供します。この問題に対応するオープンソース Linux コミュニティの成果を取り入れていきます。
既存の Amazon Linux AMI インスタンスを使用しているお客様は、次のコマンドを実行して、更新パッケージを適用する必要があります。
sudo yum update kernel
通常の Linux カーネルのアップデートと同様に、yum による更新が完了した後、アップデートを有効にするためには再起動が必要です。
このセキュリティ情報の詳細については、Amazon Linux AMIセキュリティセンターを参照してください。
https://alas.aws.amazon.com
また以下の URL からもより詳細な情報を確認いただけます。
https://aws.amazon.com/security/security-bulletins/AWS-2018-013
CentOS
CentOS は、CVE-2017-5754、CVE-2017-5753、および CVE-2017-5715 を緩和するために、AMI とグローバルリポジトリのカーネルを更新しました。お客様は、CentOS 6 および 7 用のカーネルを更新する必要があります。
既存の CentOS 6 または 7 インスタンスを使用しているお客様は、次のコマンドを実行し、更新されたパッケージを適用する必要があります。
sudo yum update kernel
このセキュリティ情報の詳細については、次の URL を参照してください。
https://www.centos.org/forums/viewtopic.php?f=51&t=65703
Debian
Debian Linux リポジトリには、Debian 7, 8, 9 の最新カーネルがあります。Debian AMI( https://wiki.debian.org/Cloud/AmazonEC2Image )で起動した EC2 インスタンスには、KPTI のバグに対処し、CVE-2017-5754(Meltdown)の軽減策を改善する更新パッケージが自動的に含まれます。
このセキュリティ情報の詳細については、次の Web サイトを参照してください。
https://www.debian.org/security/2018/dsa-4082
https://security-tracker.debian.org/tracker/linux
Fedora
Fedora はCVE-2017-5754 に対処する Fedora 26 と 27(カーネルバージョン 4.14.11)および Rawhide(カーネル 4.15 リリース候補)の カーネルアップデートを提供しています。
このセキュリティ情報の詳細については、次の Web サイトを参照してください。
https://fedoramagazine.org/protect-fedora-system-meltdown/
https://torrent.fedoraproject.org/
Microsoft Windows
AWS Windows AMI を更新しました。AWS Windows AMI には必要なパッチがインストールされ、レジストリキーが有効になっています。
Microsoft は、Server 2008 R2、2012 R2 および 2016 の Windows パッチを提供しています。パッチは、Server 2016 用の Windows Update Service にて利用可能です。Server 2003、2008SP2 および 2012RTM のパッチに関しては Microsoft からの情報待ちとなっています。
EC2 上で実行される Windows インスタンスで「自動アップデート」が有効になっているお客様は、自動アップデートを実行し、Windows 用のアップデートが利用可能であれば、ダウンロードしてインストールする必要があります。
Server 2008R2 および 2012R2 のパッチは現在 Windows Update にて利用できず、手動でダウンロードする必要があります。Microsoft はこれらのパッチは1月9日火曜日に Windows Update にて入手可能となると案内していましたが、引き続き Microsoft からの情報待ちとなっています。
「自動アップデート」が有効になっていない Windows インスタンスを EC2 で実行しているお客様は、アップデートが利用可能になった際、手動でインストールする必要があります。詳細については、こちらの手順をご覧ください。
http://windows.microsoft.com/en-us/windows7/install-windows-updates
Windows Server にてこの問題に対する最新の保護機能を有効にするためには、追加の手順が必要になります。詳細については、こちらの手順をご覧ください:
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
Red Hat
重要な注意:Red Hat Enterprise Linux カーネルアップデートを準仮想化(PV)インスタンスに適用しないでください。ブートに失敗する可能性があります。代わりに、アップデートを適用する前に、Red Hat Enterprise Linux PV インスタンスを HVM に移行してください。詳細は以下を参照してください。
https://access.redhat.com/solutions/3312501
Red Hat は、CVE-2017-5754、CVE-2017-5753、および CVE-2017-5715 を緩和するために、グローバルリポジトリの AMI とカーネルを更新しました。お客様は RHEL 6、RHEL 7 上の既存のインスタンスカーネルを Red Hat Update Infrastructure(RHUI)を通じて更新する必要があります。
既存の RHEL 6 または 7 インスタンスを使用しているお客様は、次のコマンドを実行して、更新されたパッケージを適用する必要があります。
sudo yum update kernel
このセキュリティ情報の詳細については、次の URL を参照してください。
https://access.redhat.com/security/vulnerabilities/specutiveexecution
SUSE
SUSE Linux 用の更新されたカーネルは、SUSE Linux リポジトリで利用できます。2018年1月4日以降にデフォルト SUSE Linux イメージを起動された EC2 インスタンスには、KPTI バグに対処し、CVE-2017-5754 の軽減策を改善する更新パッケージが自動的に組み込まれます。
詳細は、SUSE Linux セキュリティ情報を参照してください。
https://www.suse.com/support/kb/doc/?id=7022512
Ubuntu
Ubuntu 用の更新されたカーネルは、グローバル Ubuntu リポジトリで利用可能です。2018年1月10日以降にデフォルト設定で Ubuntu を起動された EC2 インスタンスには、CVE-2017-5754 に対応する更新パッケージが自動的に追加されます。
既存の Ubuntu 14.04、16.04、および 17.10 のインスタンスを使用しているお客様は、次のコマンドを実行し、更新されたカーネルパッケージを適用する必要があります。
sudo apt upgrade
このセキュリティ情報の詳細については、次のURLを参照してください。
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
上記はAWS Japan Security Awareness Teamによって翻訳されました。原文は以下です:
https://aws.amazon.com/speculative-execution-os-updates/
内容は随時更新するため、最新情報は原文の内容を正としてご参照ください。