プロセッサの投機的実行に関する調査の公開について

【日本語訳】日本時間 2018年01月11日午前 10:30
関連する CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

日本時間 2018年01月10日午後 12:10
以下は本件に関するアップデートです。

KPTI のバグに対処し、CVE-2017-5754 への軽減策を改善する、Amazon Linux 用の 2 番目のカーネルリリースが公開されました。 CVE-2017-5754 でのインスタンス内のプロセス間の問題を効果的に緩和するには、最新の Amazon Linux カーネルまたは AMI にアップグレードする必要があります。 下記の「Amazon Linux AMI」の情報を参照してください。

para-virtualized（PV）インスタンスについては、以下の「PV インスタンスガイダンス」の情報を参照してください。

Amazon EC2

Amazon EC2 のすべてのインスタンスは、上述の CVE に記載されたインスタンス間の既知の問題すべてから保護されています。 インスタンスまたは AWS ハイパーバイザーのメモリを、近隣の別のインスタンスから読み取ることができると想定しています。 この問題は AWS ハイパーバイザーでは解決されており、インスタンスは別のインスタンスのメモリを読み取ることも、AWS ハイパーバイザーのメモリを読み取ることもできません。 大多数の EC2 ワークロードに有意なパフォーマンスの影響は見られていません。

次のサービスをお使いのお客様への推奨アクション: AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce, and Amazon Lightsail

すべてのインスタンスは上記のように保護されていますが、インスタンスのオペレーティングシステムにパッチを当てて、同じインスタンス内で動作するソフトウェアを分離し、CVE-2017-5754 に記載のプロセス間の問題を軽減することをお勧めします。 詳細は、パッチに関する各ベンダーのガイダンスを参照してください。

各ベンダーのガイダンス：

• Amazon Linux – 詳細は下部に記載
• Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
• RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
• SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
• Ubuntu Linux – https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

記載されていないオペレーティングシステムについては、お客様がオペレーティングシステムまたは AMI のベンダーに最新情報および対応方法について問い合わせる必要があります。

PV インスタンスガイダンス

この問題で利用可能なオペレーティングシステムのパッチに関する継続的な調査と詳細な分析の結果、オペレーティングシステムの保護が、準仮想化（PV）インスタンス内のプロセス間の問題に対処するには不十分であると判断しました。 PV インスタンスは、前述のようにインスタンス間の問題について AWS ハイパーバイザーによって保護されます。しかしながら、PV インスタンスにおけるプロセスの分離（信頼できないデータ処理やコードの実行、ユーザのホスト）にご懸念をお持ちでしたら、長期的に見てセキュリティの恩恵を受けるため、HVM インスタンスタイプへの変更を強くお勧めします。

PVとHVM（およびインスタンスアップグレードパスのドキュメント）の相違点の詳細については、以下を参照してください:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

PVインスタンスのアップグレードパスに関する支援が必要な場合は、サポートにお問い合わせください。

他のAWSサービスのアップデート

次のサービスでは EC2 インスタンスのパッチ適用はお客様に代わって AWS 側で管理されますが、すべての作業を完了しております。お客様の対応は必要ありません。

• Fargate
• Lambda

以下で別途記載しない限り、他のすべての AWS サービスにおいてお客様の対応は必要ありません。

Amazon Linux AMI (Bulletin ID: ALAS-2018-939)

Amazon Linux 用の更新されたカーネルは、Amazon Linuxのリポジトリにて入手できます。

2018年1月8日以降、デフォルトの Amazon Linux 構成で起動された EC2 インスタンスには、KPTI のバグに対処し、CVE-2017-5754 への軽減策を改善する更新パッケージが自動的に組み込まれます。

注：インスタンス内のCVE-2017-5754 を効果的に軽減するには、最新の Amazon Linux カーネルまたは AMI にアップグレードする必要があります。私たちは引き続きAmazon Linuxの改善とAmazon Linux AMIのアップデートを提供します。この問題に対応するオープンソース Linux コミュニティの成果を取り入れています。

既存の Amazon Linux AMI インスタンスを使用しているお客様は、次のコマンドを実行して、更新パッケージを確実に適用するようにしてください。
sudo yum update kernel
通常の Linux カーネルのアップデートと同様に、yum による更新が完了した後、アップデートを有効にするためには再起動が必要です。

このセキュリティ情報の詳細については、Amazon Linux AMIセキュリティセンターを参照してください。

Amazon Linux 2 の場合も、上記の Amazon Linux の手順に従ってください。

EC2 Windows

AWS Windows AMI を更新しました。

これらはお客様からすでにご利用可能であり、AWS Windows AMI には必要なパッチがインストールされ、レジストリキーが有効になっています。

Microsoft は、Server 2008 R2、2012 R2 および 2016 の Windows パッチを提供しています。 パッチは、Server 2016 用の Windows Update Service にて利用可能です。Server 2003、2008SP2 および 2012RTM のパッチに関しては Microsoft からの情報待ちとなっています。

EC2 上で実行される Windows インスタンスで「自動アップデート」が有効になっているお客様は、自動アップデートを実行し、Windows 用のアップデートが利用可能であれば、ダウンロードしてインストールする必要があります。

Server 2008R2 および 2012R2 のパッチは現在 Windows Update にて利用できず、手動でダウンロードする必要があります。Microsoft はこれらのパッチは1月9日火曜日に Windows Update にて入手可能となると案内していましたが、引き続き Microsoft からの情報待ちとなっています。

「自動アップデート」が有効になっていない Windows インスタンスを EC2 で実行しているお客様は、アップデートが利用可能になった際、手動でインストールする必要があります。詳細については、こちらの手順をご覧ください：

http://windows.microsoft.com/en-us/windows7/install- windows-updates

Windows Server にてこの問題に対する保護機能を有効にするためには、追加の手順が必要になります。詳細については、こちらの手順をご覧ください：

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

ECS Optimized AMI

上記の 2 番目の Amazon Linux カーネルアップデートを含む、この問題に対するすべての Amazon Linux 保護を組み込んだ Amazon ECS Optimized AMI バージョン 2017.09.f をリリースしました。 Amazon ECS をご利用のすべてのお客様は、AWS Marketplaceで入手可能なこの最新バージョンにアップグレードすることをお勧めします。 私たちは、Amazon Linux の改善が利用可能になり次第、それらを取り入れ続けます。

既存の ECS Optimized AMI インスタンスをそのまま更新することを選択したお客様は、次のコマンドを実行して、最新のパッケージを確実に受け取るようにする必要があります。
sudo yum update kernel
通常の Linux カーネルのアップデートと同様に、yum による更新が完了した後、アップデートを有効にするには再起動が必要です。

ECS Optimized AMI を使用していない Linux をご利用のお客様は、必要に応じて、サードパーティのオペレーティングシステム、ソフトウェア、または AMI のベンダーに相談し、アップデートや必要な手順を実施することをお勧めします。 Amazon Linux に関する情報は、Amazon Linux AMI セキュリティセンターで入手できます。

Amazon ECS に最適化された Windows AMI をアップデートしています。利用可能になった際には、このセキュリティ情報を更新します。 MicrosoftはServer 2016 用の Windows パッチを提供しています。 実行中のインスタンスにパッチを適用する方法の詳細については、以下を参照してください:

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

 Elastic Beanstalk

AWS はこの問題に対する Amazon Linux の保護を含め、すべての Linux ベースのプラットフォームを更新しました。 特定のプラットフォームのバージョンについては、リリースノートを参照してください。 お客様には環境を更新することをお勧めします。 マネージドプラットフォーム更新を使用する環境は、設定されたメンテナンスウィンドウ中に自動的に更新されます。

私たちは上述の 2 番目の Amazon Linux カーネルのアップデートを組み込んでいます。 新しいプラットフォームのバージョンが入手可能になり次第、このセキュリティ情報を更新します。

Elastic Beanstalk チームは引き続き Windows プラットフォームのアップデートを行います。 それまでの間、Windows ベースのプラットフォームを使用している Elastic Beanstalk のお客様は、このセキュリティ情報の上記の「EC2 Windows」の手順に従って、利用可能なセキュリティ更新プログラムを手動でインストールすることをお勧めします。

RDS

RDS のデータベースインスタンスは、単一のお客様のデータベースエンジンにのみに使用されます。他のお客様からアクセス可能なプロセスはなく、またお客様が基盤となるインスタンスでコードを実行することはできません。 AWS は RDS の基盤となるすべてのインフラストラクチャの保護を完了したので、本問題で懸念されているプロセスーカーネル間やプロセスープロセス間の問題は、リスクとはなりません。 RDS がサポートするほとんどのデータベースエンジンでは、現時点でプロセス内での既知の問題が報告されていません。 データベースエンジン固有の追加の詳細は以下に記載します。特に明記しない限り、お客様の対応は必要ありません。 詳細な情報が利用可能になり次第、このセキュリティ情報を更新します。

RDS for SQL Server のデータベースインスタンスでは、Microsoft がパッチを提供次第、OS とデータベースエンジンのパッチをリリースし、お客様の選択した時間にてアップグレードできるようにします。 いずれかのパッチが利用可能になり次第、このセキュリティ情報を更新します。 それまでの間、CLR （デフォルトでは無効）を有効にした顧客は、CLR 拡張機能を無効にするための Microsoft のガイダンスを確認してください:

https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

RDS PostgreSQL および Aurora PostgreSQL の場合、デフォルト設定で実行されているDBインスタンスには現在、お客様の対応は必要ありません。 plv8 拡張をお使いのお客様には、利用可能になり次第、適切なパッチを提供します。 それまでの間、plv8 拡張機能（デフォルトでは無効）を有効にしているお客様は、無効にすることを検討し、V8 からのガイダンスを参照してください:

https://github.com/v8/v8/wiki/Untrusted-code-mitigations

RDS for MariaDB、RDS for MySQL、Aurora MySQL、およびRDS for Oracle のデータベースインスタンスでは、現在のところお客様の対応は必要ありません。

VMware Cloud on AWS

VMware 社によると、「VMSA-2018-0002 に記載されている修正は、2017年12月初旬から AWS の VMware Cloud にて提供されています。」

詳細については、VMware Security＆Compliance のブログを参照してください。最新のステータスについては、以下を参照してください。

https://status.vmware-services.io

WorkSpaces

AWSは次の週末に、Microsoft がリリースしたセキュリティアップデートをほとんどの AWS WorkSpaces に適用する予定です。 この期間中 WorkSpaces は再起動が行われます。

自身のライセンス (BYOL) をご利用いただき、Workspace のデフォルトの更新設定を変更したお客様は、Microsoft が提供するセキュリティ更新プログラムを手動で適用する必要があります。

以下の Microsoft セキュリティアドバイザリの指示に従ってください:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

セキュリティアドバイザリには、Windows Server とクライアントのオペレーティングシステムの両方に関するナレッジベースの記事へのリンクが含まれており、さらに詳しい情報が提供されます。

更新された WorkSpaces バンドルは、セキュリティアップデートにより、まもなく利用可能になります。 カスタムバンドルを作成したお客様は、バンドルを更新して、セキュリティアップデートを含める必要があります。 更新プログラムが含まれないバンドルから起動された新しい WorkSpaces は、WorkSpaces のデフォルトの更新設定を変更しない限り、起動後すぐにパッチを受け取ることになります。デフォルトの設定を変更した場合、上記手順に従ってMicrosoft が提供するセキュリティ更新プログラムを手動で適用する必要があります。

WorkSpaces Application Manager (WAM)

お客様には、以下のいずれかの方法を選択することをお勧めします。

オプション1：Microsoftが提供する手順に従い、実行中の WAM Packager および Validator のインスタンスに手動で Microsoft パッチを適用します。

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

このページには、詳細な手順とダウンロードのリンクが記載されています。

オプション2：更新された AMI から WAM Packager と Validator 向けの新しい EC2インスタンスを再構築します。これは 2018年01月04日中に利用可能となります。

上記はAWS Japan Security Awareness Teamによって翻訳されました。原文は以下です：

https://aws.amazon.com/jp/security/security-bulletins/AWS-2018-013/