Oracle Cloud Infrastructureドキュメント

Oracle Cloud Infrastructure Computeコンテンツへの影響

Intelでは、4つの新しい投機実行サイドのチャネル・プロセッサの脆弱性がIntelプロセッサに影響を与えます。 これらの脆弱性は、次のCVE識別子を受け取りました:

  • CVE-2019-11091: マイクロアーキテクチャ・データ・サンプリング・アンキャッシャブル・メモリー(MDSUM)

  • CVE-2018-12126: マイクロアーキテクチャ・ストア・バッファ・データ・サンプリング(MSBDS)

  • CVE-2018-12127: マイクロアーキテクチャ・ロード・ポート・データ・サンプリング(MLPDS)

  • CVE-2018-12130: マイクロアーキテクチャ・フィル・バッファ・データ・サンプリング(MFBDS)

詳細は、https://blogs.oracle.com/security/intelmdsを参照してください。

推奨アクション

Oracleは、ユーザーが既存のベア・メタルおよび仮想マシン(VM)インスタンスにパッチを適用し、これらのOS更新にMDS脆弱性のパッチが含まれていることを確認することをお薦めします。 VMインスタンスの場合、Oracle Cloud Infrastructureチームは、MDSの脆弱性を軽減するために必要な回避策を実装しています。 仮想化テクノロジを使用しているベア・メタル・インスタンスの場合、次の手順にも従う必要があります。

ベア・メタル・インスタンスで独自の仮想化スタックまたはハイパーバイザを実行している場合、MDSプロセッサの脆弱性に対処するために必要な適切なパッチを適用する必要があります。

次の各項では、「Oracle提供のイメージ」で作成された実行中インスタンスの更新に必要なコマンドについて説明します。

これらのイメージを使用して作成された結果インスタンスにはMDSの脆弱性の推奨パッチが含まれているため、Oracleが提供するイメージのリリースは、推奨パッチで更新されました。

インポートしたサードパーティ・イメージから作成されたインスタンスを実行する顧客は、MDS脆弱性のためにOSにパッチを適用するオペレーティング・システム(OS)ベンダーのガイダンスを参照している必要があります。

Oracle Linuxインスタンスへのパッチ適用

Oracleには、X86製品用のOracle Linux 6、Oracle Linux 7およびOracle VM Serverのセキュリティ・パッチがリリースされています。 OSのパッチ以外に、お客様はIntelから最新バージョンのマイクロコードを実行して、これらの問題を軽減する必要があります。 ベア・メタル・インスタンスおよびVMインスタンスの両方について、uptrack-upgradeを介して最新のKspliceをインストールしてください。

ノート

Kspliceのインストール方法は、「Oracle Cloud InfrastructureへのKsplice Uptrackのインストール」を参照してください。

Oracle Linuxの場合、MDSの脆弱性のパッチは、同じパッチ・セットで処理されます。 詳細は、次を参照してください:

ベア・メタル・インスタンスには、Intelからの最新のマイクロコード更新が必要です。 このステップはVMインスタンスには必要ありません。

ベア・メタル・インスタンスに最新のマイクロコード更新をインストールするには、次のコマンドを実行します:

# sudo yum update microcode_ctl

microcode_ctl rpmに必要なバージョンは次のとおりです:

  • Oracle Linux 7: microcode_ctl 2.1-47.0.4

  • Oracle Linux 6: microcode_ctl 1.17-1002

追加の更新は必要ありません。 マイクロコードの更新に加えて、次の一連の手順を使用して、ベア・メタル・インスタンスにパッチを適用する必要があります。

ベアメタルとVMインスタンスのOSをダウンタイムにパッチ適用するには

Windowsインスタンスへのパッチ適用

新しいWindows VMおよびベア・メタル・インスタンスの保護

Oracleが提供する最新のWindowsイメージに基づいて新しいVMまたはベア・メタル・インスタンスを作成すると、イメージにはMDSの脆弱性から保護するMicrosoft推奨パッチが含まれます。 Windowsのベア・メタル・インスタンスには、Intelの最新のマイクロコード・アップデートも含まれています。 MDSパッチを適用するには、最新のWindowsアップデートをインストールし、インスタンスを再起動します。 インスタンスが、OSベンダーが推奨する最新のパッチで更新された状態にしておく必要があります。

既存のWindows VMおよびベア・メタル・インスタンスの保護

既存のベアメタル・インスタンスのマイクロコードを更新するには
ベアメタルとVMインスタンスのOSをダウンタイムにパッチ適用するには

詳細は、「この実行サイド・チャネルの脆弱性から保護するためのWindows Serverのガイダンス」を参照してください。

UbuntuまたはCentOSインスタンスへのパッチ適用

Oracle提供の最新のUbuntuイメージまたはCentOSイメージに基づいて新しいVMまたはベア・メタル・インスタンスを作成する場合は、Microarchitectural Data Sampling (MDS)および「MDS - マイクロアーキテクチャ・ストア・バッファ・データ - CVE-2018-12130、CVE-2018-12126、CVE-2018-12127およびCVE-2019-11091」を参照してください。 既存のVMまたはベア・メタル・インスタンスの場合、元のOSベンダーが提供するパッチ適用のガイダンスに従う必要があります。

ノート

「イメージ・リリース・ノート」にリストされている2019年5月14日より後に公開されたイメージには、MDSパッチが含まれます。
以前に起動したイメージを使用する場合は、パッチ適用の指示に従います。