Oracle Cloud Infrastructureドキュメント

L1TFの脆弱性に対するコンピュートInstanceの保護

Intelは、プロセッサに影響する新しい投機実行サイド・チャネル・プロセッサの脆弱性の新しいセットを公開しました。詳細については、「脆弱性ノートVU#584653」を参照してください。 これらのL1ターミナル・フォールト(L1TF)の脆弱性は、多数のIntelプロセッサに影響を及ぼし、次のCVE識別子を受け取っています:

  • CVE-2018-3615は、Intel Software Guard Extensions (SGX)に影響を及ぼし、CVSSベース・スコアは7.9です。

  • CVE-2018-3620は、オペレーティング・システムおよびIntelプロセッサ上で動作するシステム管理モード(SMM)に影響を及ぼし、CVSSベース・スコアは7.1です。

  • CVE-2018-3646は、Intelプロセッサ上で動作する仮想化ソフトウェアおよび仮想マシン・モニター(VMM)に影響を及ぼし、CVSSベース・スコアは7.1です。

詳細については、「Intel L1TFの脆弱性に対するOracle Cloudセキュリティ・レスポンス」を参照してください。

推奨アクション

既存のベア・メタル・インスタンスと仮想マシン(VM)インスタンスのオペレーティング・システムにパッチを適用し、これにCVE-2018-3620の脆弱性に対するパッチが含まれていることを確認することをお薦めします。 VMインスタンスの場合、Oracle Cloud Infrastructureチームは、CVE-2018-3646の脆弱性を緩和するために必要な回避策を実装しています。 仮想化技術を使用したベア・メタル・インスタンスの場合は、次の手順に従ってCVE-2018-3646の脆弱性に対する対策を確実に行う必要があります。

ベア・メタル・インスタンスで独自の仮想化スタックまたはハイパーバイザを実行している場合は、CVE-2018-3646の脆弱性に対するパッチを適用する必要があります。

次のセクションの情報は、「Oracle提供のイメージ」から作成された実行中のインスタンスを更新するために必要なコマンドの詳細です。

次のOracle提供のイメージ・リリースは推奨パッチで更新されているため、これらのイメージまたは新しいイメージ・リリースから作成されたインスタンスには、L1TFの脆弱性に関する推奨パッチが含まれています。

インポートされたカスタム・イメージから作成された実行中のインスタンスについては、オペレーティング・システム(OS)のベンダー・ガイダンスを参照して、L1TFの脆弱性に対するOSを修正してください。

Oracle Linuxインスタンスへのパッチ適用

Oracle Linuxの場合、CVE-2018-3620およびCVE-2018-3646の脆弱性のパッチは、同じパッチセットで対処されます。

ベア・メタル・インスタンスには、Intelからの最新のマイクロコード更新が必要です。 このステップはVMインスタンスには必要ありません。

最新のマイクロコード更新をインストールするには、次のコマンドを実行します:

# sudo yum update microcode_ctl
			

マイクロコードRPMは、microcode_ctl-2.1-29.2.0.4.el7_5.x86_64.rpm以上でなければなりません。 これは、Spectre v3aおよびSpectre v4アップデート用に出荷されたマイクロコード・パッケージのバージョンです。 追加の更新は必要ありません。 マイクロコードの更新に加えて、次の一連の手順を使用して、ベア・メタル・インスタンスにパッチを適用する必要があります。

ベアメタルとVMインスタンスのOSをダウンタイムにパッチ適用するには

Windowsインスタンスへのパッチ適用

新しいWindows VMおよびベア・メタル・インスタンスの保護

Oracleが提供する最新のWindowsイメージに基づいて新しいVMインスタンスまたはベア・メタル・インスタンスを作成する場合、イメージにはL1TFの脆弱性から保護するための推奨パッチMicrosoftが含まれています。 Windowsのベア・メタル・インスタンスには、Intelの最新のマイクロコード・アップデートも含まれています。

新しいWindowsベースのVMやベア・メタルのインスタンスをL1TFの脆弱性から守るために必要なアクションはありません。 OSベンダーが推奨する最新のパッチでインスタンスを更新した状態に保つようにしてください。

既存のWindows VMおよびベア・メタル・インスタンスの保護

既存のベアメタル・インスタンスのマイクロコードを更新するには
ベアメタルとVMインスタンスのOSをダウンタイムにパッチ適用するには

詳細については、「L1端末の障害から保護するためのWindows Serverガイダンス」を参照してください。

UbuntuまたはCentOSインスタンスへのパッチ適用

最新のOracle提供UbuntuまたはCentOSイメージに基づいて新しいVMまたはベア・メタル・インスタンスを作成する場合、イメージにはL1TFの脆弱性から保護するための推奨パッチが含まれています。詳細は「L1ターミナル・フォルト(L1TF)」および「L1TF - L1ターミナル・フォールト攻撃 - CVE-2018-3620 & CVE-2018-3646」を参照してください。

既存のVMインスタンスまたはベア・メタル・インスタンスの場合は、OSのベンダーが提供するガイダンスに従い、パッチ・システムを実行する必要があります。