Oracle Cloud Infrastructureドキュメント

Intel L1TFの脆弱性に対するOracle Cloudセキュリティ・レスポンス

Intelは、プロセッサに影響を及ぼす新しい投機実行サイド・チャネル・プロセッサの脆弱性のセットを公開しました。 詳細は、「脆弱性ノートVU#584653」を参照してください。 これらのL1ターミナル・フォールト(L1TF)の脆弱性は、多数のIntelプロセッサに影響を及ぼし、次のCVE識別子を受け取っています:

  • CVE-2018-3615は、Intel Software Guard Extensions (SGX)に影響を与え、CVSSベース・スコアは7.9です。

  • CVE-2018-3620は、オペレーティング・システムおよびIntelプロセッサ上で動作するシステム管理モード(SMM)に影響を及ぼし、CVSSベース・スコアは7.1です。

  • CVE-2018-3646は、Intelプロセッサ上で動作する仮想化ソフトウェアおよび仮想マシン・モニター(VMM)に影響を及ぼし、CVSSベース・スコアは7.1です。

詳細については、「IntelプロセッサL1TFの脆弱性: CVE-2018-3615, CVE-2018-3620, CVE-2018-3646」を参照してください。

Oracle Cloud Infrastructure

Oracleは、悪意のある攻撃者の仮想マシン(VM)インスタンスが他のVMインスタンスからのデータにアクセスするのを防ぐために設計されたOracle Cloud Infrastructureシステムに技術的な緩和策をデプロイしました。

ただし、CVE-2018-3620の脆弱性により、不正なユーザー・モード・プロセスで同じ仮想マシン内の特権付きカーネル・メモリーを読み取ることができます。 その結果、独自のオペレーティング・システム(OS)を管理している場合は、この脆弱性に対処するためにOSセキュリティ・パッチについておくことをお勧めします。

以下のセクションでは、緩和とアクションの詳細について説明します。

Oracle Cloud Infrastructure Compute

コンピュート・サービスのVMおよびベア・メタル・インスタンスに関連する詳細および必要な処理については、「コンピュート・サービスに関するL1TFの影響に関するOracle Cloud Infrastructure Customer Advisory」を参照してください。

Oracle Cloud Infrastructure Database

Autonomous Data WarehouseAutonomous Transaction Processingを使用すると、それ以上のアクションはありません。

VM DBシステム、ベア・メタルDBシステム、およびExadata DBシステムのOracle Cloud Infrastructureオファリングに関する詳細および必要なアクションについては、「データベース・サービスに関するL1TFの影響に関するOracle Cloud Infrastructure Customer Advisory」を参照してください。

Oracle Cloud InfrastructurePlatform ServiceとKubernetesサービス

Oracleは、悪意のある攻撃者のVMインスタンスが同じハイパーバイザ上の他のVMインスタンスからのデータにアクセスするのを防ぐために設計された技術的緩和策をデプロイしています。

ただし、脆弱性CVE-2018-3620により、不正なユーザー・モード・プロセスで同じ仮想マシン内の特権付きカーネル・メモリーを読み取ることができます。 その結果、Oracleによって管理されるPlatform Serviceホストは、Oracleによってパッチされています。 独自のオペレーティング・システムを管理する場合は、この脆弱性に対処するためにOSのセキュリティ・パッチについておくことをお勧めします。

その他のOracle Cloud Infrastructureサービス

他のすべてのOracle Cloud Infrastructureサービスを保護するための対策がデプロイされました。 追加の必要なメンテナンス作業があれば、オラクル社は顧客に直接通知し、調整します。

Oracle Cloud Infrastructure ClassicおよびOracle Platform Service on Oracle Cloud Infrastructure Classic

詳細については、Oracle Cloud Infrastructure Classicを参照してください。

オラクルはインフラストラクチャ用に設計された技術緩和策とPlatform ServiceOracle Cloud Infrastructure Classicにデプロイしています。 一部のお客様は、これらの緩和策をデプロイする際に再起動やダウンタイムが発生することがあります。

CVE-2018-3620の脆弱性により、不正なユーザー・モード・プロセスにより、同じ仮想マシン内の特権付きカーネル・メモリーを読み取ることができます。 その結果、Oracleによって管理されるPlatform Serviceホストは、Oracleによってパッチされています。 独自のオペレーティング・システムを管理する場合は、この脆弱性に対処するためにOSのセキュリティ・パッチについておくことをお勧めします。