関連事項: CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新時点: 2018/03/05 午後 3:00 (太平洋標準時)
これは、この問題に関する更新です。
Amazon Linux の更新されたカーネルは、Amazon Linux リポジトリ内で利用可能です。2018 年 1 月 13 日以降にデフォルトの Amazon Linux 構成で起動された EC2 インスタンスには、カーネル内の CVE-2017-5715 に対処するための最新の安定したオープンソース Linux セキュリティの改善が組み込まれ、以前に組み込まれたカーネルページに基づいてビルドされる更新パッケージが自動的に含まれ、CVE-2017-5754 に対処した以前に組み込まれたテーブル分離 (KPTI) に基づいて構築されます。 お客様は、インスタンス内の CVE-2017-5715 のプロセス間問題および CVE-2017-5754 のプロセス間問題を効果的に軽減するために、最新の Amazon Linux カーネルまたは AMI にアップグレードする必要があります。詳細については、「Processor Speculative Execution – Operating System Updates」を参照してください。
準仮想化 (PV) インスタンスについては、以下の「PV インスタンスガイダンス」情報を参照してください。
Amazon EC2
Amazon EC2 フリート全体のすべてのインスタンスは、CVE-2017-5715、CVE-2017-5753、および CVE-2017-5754 のすべての既知のインスタンス間の懸念から保護されています。インスタンス間の問題では、信頼されていない近隣インスタンスが別のインスタンスまたは AWS ハイパーバイザーのメモリを読み取ることができると想定しています。この問題は AWS ハイパーバイザーで対処されており、インスタンスは別のインスタンスのメモリを読み取ることも、インスタンスが AWS ハイパーバイザーのメモリを読み取ることもできません。前述したように、圧倒的に大部分の EC2 ワークロードのパフォーマンスに意味のある影響は認められていません。
2018 年 1 月 12 日の時点で、AWS のプラットフォーム用の新しい Intel CPU マイクロコードの一部の非アクティブ化を完了しました。そこでは、Intel マイクロコードの更新によって引き起こされる少数のクラッシュやその他の予測できない動作が見られました。この変更により、この少数のインスタンスでこれらの問題が緩和されました。
AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce、および Amazon Lightsail の推奨されるお客様のアクション
上記のようにすべてのお客様のインスタンスが保護されていますが、この問題のプロセス間またはプロセスとカーネル間の問題に対処するために、インスタンスオペレーティングシステムにパッチを適用することをお勧めします。Amazon Linux および Amazon Linux 2、CentOS、Debian、Fedora、Microsoft Windows、Red Hat、SUSE、Ubuntu の詳細なガイダンスと手順については、「Processor Speculative Execution – Operating System Updates」を参照してください。
PV インスタンスガイダンス
この問題に対応するオペレーティングシステムパッチの継続的な調査と詳細な分析の結果、オペレーティングシステムの保護では、準仮想化 (PV) インスタンス内のプロセス間の懸念に対処するには不十分であると判断しました。前述のように、PV インスタンスは AWS ハイパーバイザーによってインスタンスからインスタンスへの懸念から保護されていますが、PV インスタンス内のプロセスの分離に懸念があるお客様 (例: 信頼できないデータの処理、信頼できないコードの実行、信頼できないユーザーのホスト)は、長期的なセキュリティ上の利点を得るために、HVM インスタンスタイプに移行することを強くお勧めします。
PV と HVM の違いの詳細 (およびインスタンスアップグレードパスのドキュメント) については、以下を参照してください。
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html
PV インスタンスのアップグレードパスについてサポートが必要な場合は、Support にご連絡ください。
他の AWS のサービスへの更新
次のサービスでは、顧客に代わって管理されている EC2 インスタンスへのパッチ適用が必要であり、すべての作業が完了しており、顧客のアクションは不要です。
- Fargate
- Lambda
以下で特に説明されていない限り、他のすべての AWS のサービスはお客様のアクションを必要としません。
ECS 最適化 AMI
この問題に対するすべての Amazon Linux 保護を組み込んだ Amazon ECS Optimized AMI バージョン 2017.09.g をリリースしました。すべての Amazon ECS のお客様は、AWS Marketplace で入手可能なこの最新バージョンにアップグレードすることをお勧めします。
既存の ECS Optimized AMI インスタンスを所定の場所に更新することを選択したお客様は、次のコマンドを実行して、更新されたパッケージを受け取るようにしてください。
sudo yum update kernel
Linux カーネルの更新ごとの標準であるように、yum 更新が完了した後、更新を有効にするには再起動が必要です。
ECS Optimized AMI を使用しない Linux のお客様は、必要に応じて更新および指示について、代替/サードパーティのオペレーティングシステム、ソフトウェア、または AMI のベンダーに相談することをお勧めします。Amazon Linux についての説明は、Amazon Linux AMI セキュリティセンター にあります。
Amazon ECS Optimized Windows AMI バージョン 2018.01.10 をリリースしました。実行中のインスタンスにパッチを適用する方法の詳細については、「Processor Speculative Execution – Operating System Updates」を参照してください。
Elastic Beanstalk
この問題に対するすべての Amazon Linux 保護を含めるために、すべての Linux ベースのプラットフォームを更新しました。特定のプラットフォームバージョンのリリースノートを参照してください。Elastic Beanstalk のお客様には、環境を利用可能な最新のプラットフォームバージョンに更新することをお勧めします。管理された更新を使用する環境は、構成されたメンテナンス期間中に自動的に更新されます。
Windows ベースのプラットフォームも更新され、この問題に対するすべての EC2 Windows 保護が含まれています。お客様は、Windows ベースの Elastic Beanstalk環境を利用可能な最新のプラットフォーム構成に更新することをお勧めします。
ElastiCache
ElastiCache が管理するお客様のキャッシュノードは、それぞれ単一のお客様のキャッシュエンジンの実行専用であり、他のお客様がアクセスできるプロセスはなく、お客様が基礎になるインスタンスでコードを実行することもできません。AWS は ElastiCache の基礎となるすべてのインフラストラクチャの保護を終了したため、この問題のプロセスからカーネルまたはプロセスからプロセスへの懸念は、お客様にリスクをもたらしません。ElastiCache サポートの両方のキャッシュエンジンは、現時点ではプロセス内の既知の問題を報告していません。
EMR
Amazon EMR は、お客様に代わって Amazon Linux を実行している Amazon EC2 インスタンスのクラスターをお客様のアカウントに起動します。Amazon EMR クラスターのインスタンス内のプロセス分離に関心があるお客様は、上記の推奨に従って最新の Amazon Linux カーネルにアップグレードする必要があります。最新の Amazon Linux カーネルを新しいマイナーリリース 5.11.1、5.8.1、5.5.1、および 4.9.3 に組み込みました。お客様は、これらのリリースで新しい Amazon EMR クラスターを作成できます。
現在の Amazon EMR リリースおよび関連する実行中のインスタンスのお客様には、上記の推奨に従って最新の Amazon Linux カーネルに更新することをお勧めします。新しいクラスターの場合、お客様はブートストラップアクションを使用して Linux カーネルを更新し、各インスタンスを再起動できます。クラスターを実行する場合、お客様は Linux カーネルの更新を容易にし、クラスター内の各インスタンスをローリング方式で再起動できます。特定のプロセスを再起動すると、クラスター内で実行中のアプリケーションに影響する可能性があることに注意してください。
RDS
RDS が管理するお客様のデータベースインスタンスは、それぞれ単一のお客様のデータベースエンジンの実行専用であり、他のお客様がアクセスできるプロセスはなく、お客様が基礎となるインスタンスでコードを実行することはできません。AWS は RDS の基礎となるすべてのインフラストラクチャの保護を終了したため、この問題のプロセスからカーネルまたはプロセスからプロセスへの懸念は、お客様にリスクをもたらしません。RDS がサポートするほとんどのデータベースエンジンは、現時点ではプロセス内の既知の問題を報告していません。追加のデータベースエンジン固有の詳細を、以下に示します。特に明記しない限り、お客様のアクションは必要ありません。
RDS for SQL Server データベースインスタンスについては、Microsoft のパッチを含む OS およびエンジンのパッチをリリースしています。該当するエンジンバージョンは以下の通りです。
SQL Server 2017 (14.00.3015.40.v1)
SQL Server 2016 (13.00.4466.4.v1)
SQL Server 2014 (12.00.5571.0.v1)
SQL Server 2012 (11.00.7462.6.v1)
SQL Server 2008 R2 (10.50.6560.0.v1)
Microsoft のこれらのパッチの適用に関するガイダンスを確認し、適宜パッチを適用する事をお勧めします。
https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server
RDS PostgreSQL および Aurora PostgreSQL の場合、デフォルトの設定で実行中の DB インスタンスは現在のところ、お客様によるアクションは必要ありません。plv8 拡張機能が利用可能になったら、適切なパッチを提供します。それまでの間、plv8 拡張機能(デフォルトでは無効)を有効にしているお客様は、無効にすることを検討し、https://github.com/v8/v8/wiki/Untrusted-code-mitigations で V8 のガイダンスを確認してください。
RDB for MariaDB、RDS for MySQL、Aurora MySQL、および RDS for Oracle データベースインスタンスには、現在、お客様のアクションは必要ありません。
VMware Cloud on AWS
VMware によると、「VMSA-2018-0002 で文書化された修正は、2017 年 12 月上旬から VMware Cloud on AWS に存在します」。
詳細については VMware セキュリティ & コンプライアンスブログを、更新されたステータスについては https://status.vmware-services.io を参照してください。
WorkSpaces
Windows Server 2008 R2 のお客様で Windows 7 を使用する場合:
Microsoft は、この問題に対する Windows Server 2008 R2 の新しいセキュリティ更新プログラムをリリースしました。これらの更新プログラムを正常に配信するには、Microsoft のセキュリティ更新プログラムで概説されているように、サーバーで互換性のあるウイルス対策ソフトウェアが実行されている必要があります。https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software。WorkSpaces のお客様は、これらの更新を取得するためにアクションを起こす必要があります。Microsoft が提供する指示に従ってください:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
Windows Server 2016 のお客様で Windows 10 を使用する場合:
AWS は、Windows Server 2016 で Windows 10 エクスペリエンスを実行する WorkSpaces にセキュリティ更新プログラムを適用しました。Windows 10 には、これらのセキュリティ更新プログラムと互換性のある Windows Defender AntiVirus ソフトウェアが組み込まれています。これ以上のお客様の操作は必要ありません。
デフォルトの更新設定が変更された BYOL およびお客様の場合:
WorkSpaces Bring Your Own License (BYOL) 機能を使用しているお客様、および WorkSpaces のデフォルトの更新設定を変更したお客様は、Microsoft が提供するセキュリティ更新プログラムを手動で適用する必要があります。これが当てはまる場合は、Microsoft セキュリティアドバイザリ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 の指示に従ってください。セキュリティアドバイザリには、さらに具体的な情報を提供する Windows Server およびクライアントオペレーティングシステムの両方のナレッジベース記事へのリンクが含まれています。
更新された WorkSpaces バンドルは、セキュリティ更新プログラムと共にまもなく利用可能になります。カスタムバンドルを作成したお客様は、バンドルを更新してセキュリティ更新プログラムを含める必要があります。更新プログラムのないバンドルから起動された新しい WorkSpaces は、お客様が WorkSpaces のデフォルトの更新設定を変更するか、互換性のないウイルス対策ソフトウェアをインストールしない限り、起動後すぐにパッチを受け取ります。その場合、Microsoft が提供するセキュリティ更新を手動で適用するために、上記の手順に従う必要があります。
WorkSpaces Application Manager (WAM)
次のいずれかのアクションコースを選択することをお勧めします。
オプション 1: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution で Microsoft が提供する手順に従って、WAM Packager および Validator の実行中のインスタンスに Microsoft 更新プログラムを手動で適用します。このページには、詳細な手順と関連するダウンロードが記載されています。
オプション 2: 既存の Packager および Validator インスタンスを終了します。「Amazon WAM Admin Studio 1.5.1」および「Amazon WAM Admin Player 1.5.1」のラベル付けがされた更新済み AMI を使用して新しいインスタンスを開始します。