Oracle Cloud Infrastructureドキュメント

コンピュート・サービスに関するL1TFの影響に関するOracle Cloud Infrastructure Customer Advisory

Intelは、プロセッサに影響を及ぼす新しい投機実行サイド・チャネル・プロセッサの脆弱性のセットを公開しました。 詳細は、「脆弱性ノートVU#584653」を参照してください。 これらのL1ターミナル・フォールト(L1TF)の脆弱性は、多数のIntelプロセッサに影響を及ぼし、次のCVE識別子を受け取っています:

  • CVE-2018-3615は、Intel Software Guard Extensions (SGX)に影響を与え、CVSSベース・スコアは7.9です。

  • CVE-2018-3620は、オペレーティング・システムおよびIntelプロセッサ上で動作するシステム管理モード(SMM)に影響を及ぼし、CVSSベース・スコアは7.1です。

  • CVE-2018-3646は、Intelプロセッサ上で動作する仮想化ソフトウェアおよび仮想マシン・モニター(VMM)に影響を及ぼし、CVSSベース・スコアは7.1です。

詳細については、「Intel L1TFの脆弱性に対するOracle Cloudセキュリティ・レスポンス」を参照してください。

Oracleは、悪意のある攻撃者の仮想マシン(VM)インスタンスが他のVMインスタンスからのデータにアクセスするのを防ぐために設計されたOracle Cloud Infrastructureシステムに技術的な緩和策をデプロイしました。

脆弱性CVE-2018-3620は、不正なユーザー・モード・プロセスが同じオペレーティング・システム(OS)内の特権付きカーネル・メモリーを読み取ることを可能にする可能性があることに注意してください。 結果として、この脆弱性に対処するためのOSセキュリティ・パッチについていくことをお勧めします。 管理しているインスタンス上でOSにパッチを当てる手順については、「L1TFの脆弱性に対するコンピュート・インスタンスの保護」を参照してください。

Oracle Cloud Infrastructureベア・メタル・インスタンスの追加ガイダンス

Oracle Cloud Infrastructureのベア・メタル・インスタンスにより、物理サーバーを完全に制御できます。 Oracle Cloud Infrastructureネットワーク仮想化は、他のカスタマ・インスタンス、VMインスタンスと他のベア・メタル・インスタンスの両方を含むOracle Cloud Infrastructureネットワーク上の他のインスタンスへの不正アクセスからこれらのインスタンスを保護するように設計および構成されています。

ベア・メタル・インスタンスで独自の仮想化スタックまたはハイパーバイザを実行している場合、L1TFの脆弱性により、仮想マシンは、同じベア・メタル・インスタンス上の基盤となるハイパーバイザまたは他のVMからの特権情報にアクセスできます。 脆弱性CVE-2018-3615、CVE-2018-3620、およびCVE-2018-3646に関する「Intelのおすすめ」を確認し、必要に応じて構成を変更する必要があります。