Oracle Cloud Infrastructure Computeコンテンツへの影響
Intelでは、4つの新しい投機実行サイドのチャネル・プロセッサの脆弱性がIntelプロセッサに影響を与えます。 これらの脆弱性は、次のCVE識別子を受け取りました:
-
CVE-2019-11091: マイクロアーキテクチャ・データ・サンプリング・アンキャッシャブル・メモリー(MDSUM)
-
CVE-2018-12126: マイクロアーキテクチャ・ストア・バッファ・データ・サンプリング(MSBDS)
-
CVE-2018-12127: マイクロアーキテクチャ・ロード・ポート・データ・サンプリング(MLPDS)
-
CVE-2018-12130: マイクロアーキテクチャ・フィル・バッファ・データ・サンプリング(MFBDS)
詳細は、https://blogs.oracle.com/security/intelmdsを参照してください。
推奨アクション
Oracleは、ユーザーが既存のベア・メタルおよび仮想マシン(VM)インスタンスにパッチを適用し、これらのOS更新にMDS脆弱性のパッチが含まれていることを確認することをお薦めします。 VMインスタンスの場合、Oracle Cloud Infrastructureチームは、MDSの脆弱性を軽減するために必要な回避策を実装しています。 仮想化テクノロジを使用しているベア・メタル・インスタンスの場合、次の手順にも従う必要があります。
ベア・メタル・インスタンスで独自の仮想化スタックまたはハイパーバイザを実行している場合、MDSプロセッサの脆弱性に対処するために必要な適切なパッチを適用する必要があります。
次の各項では、「Oracle提供のイメージ」で作成された実行中インスタンスの更新に必要なコマンドについて説明します。
これらのイメージを使用して作成された結果インスタンスにはMDSの脆弱性の推奨パッチが含まれているため、Oracleが提供するイメージのリリースは、推奨パッチで更新されました。
-
Windows-Server-2008-R2-Enterprise-Edition-VM-Gen2-2019.05.14-0
-
Windows-Server-2012-R2-Standard-Edition-VM-Gen2-2019.05.14-0
-
Windows-Server-2012-R2-Standard-Edition-VM-Gen2-E2-2019.05.15-0
-
Windows-Server-2012-R2-Datacenter-Edition-BM-Gen2-2019.05.14-0
-
Windows-Server-2012-R2-Datacenter-Edition-BM-Gen2-DenseIO-2019.05.15-0
-
Windows-Server-2012-R2-Datacenter-Edition-BM-Gen2-E2-2019.05.14-0
-
Windows-Server-2016-Standard-Edition-VM-Gen2-E2-2019.05.14-0
-
Windows-Server-2016-Datacenter-Edition-BM-Gen2-DenseIO-2019.05.14-0
-
Windows-Server-2016-Datacenter-Edition-BM-Gen2-E2-2019.05.15-0
インポートしたサードパーティ・イメージから作成されたインスタンスを実行する顧客は、MDS脆弱性のためにOSにパッチを適用するオペレーティング・システム(OS)ベンダーのガイダンスを参照している必要があります。
Oracle Linuxインスタンスへのパッチ適用
Oracleには、X86製品用のOracle Linux 6、Oracle Linux 7およびOracle VM Serverのセキュリティ・パッチがリリースされています。 OSのパッチ以外に、お客様はIntelから最新バージョンのマイクロコードを実行して、これらの問題を軽減する必要があります。 ベア・メタル・インスタンスおよびVMインスタンスの両方について、uptrack-upgradeを介して最新のKspliceをインストールしてください。
ノート
Kspliceのインストール方法は、「Oracle Cloud InfrastructureへのKsplice Uptrackのインストール」を参照してください。
Oracle Linuxの場合、MDSの脆弱性のパッチは、同じパッチ・セットで処理されます。 詳細は、次を参照してください:
ベア・メタル・インスタンスには、Intelからの最新のマイクロコード更新が必要です。 このステップはVMインスタンスには必要ありません。
ベア・メタル・インスタンスに最新のマイクロコード更新をインストールするには、次のコマンドを実行します:
# sudo yum update microcode_ctl
microcode_ctl rpmに必要なバージョンは次のとおりです:
-
Oracle Linux 7: microcode_ctl 2.1-47.0.4
-
Oracle Linux 6: microcode_ctl 1.17-1002
追加の更新は必要ありません。 マイクロコードの更新に加えて、次の一連の手順を使用して、ベア・メタル・インスタンスにパッチを適用する必要があります。
yum-plugin-securityパッケージを使用すると、yumを使用して、システムで使用可能なすべてのエラタのリスト(セキュリティ更新など)を取得できます。 さらに、Oracle Enterprise Manager 12c Cloud Controlや管理ツール(Katello、Pulp、Red Hat Satellite、Spacewalk、SUSE Managerなど)を使用して、更新情報を抽出および表示できます。
-
yum-plugin-securityパッケージをインストールするには、次のコマンドを実行します:# sudo yum install yum-plugin-security
-
--cveオプションを使用して、指定したCVEに対応するエラータを表示し、次のコマンドを実行して必要なパッケージをインストールします:# sudo yum updateinfo list --cve CVE-####-#### # sudo yum update --cve CVE-####-####
前述のコマンドの
####-####を、関連するCVE番号で置換します。 -
パッケージが適用されると、システムを再起動する必要があります。 デフォルトでは、ブート・マネージャによって最新のカーネル・バージョンが自動的に有効化されます。 Yumアップデートの使用方法の詳細は、Yumセキュリティ・プラグインのインストールと使用を参照してください。
-
システムのリブート後、次のファイルが移入されていることを確認します:
cat /sys/devices/system/cpu/vulnerabilities/mds
Windowsインスタンスへのパッチ適用
新しいWindows VMおよびベア・メタル・インスタンスの保護
Oracleが提供する最新のWindowsイメージに基づいて新しいVMまたはベア・メタル・インスタンスを作成すると、イメージにはMDSの脆弱性から保護するMicrosoft推奨パッチが含まれます。 Windowsのベア・メタル・インスタンスには、Intelの最新のマイクロコード・アップデートも含まれています。 MDSパッチを適用するには、最新のWindowsアップデートをインストールし、インスタンスを再起動します。 インスタンスが、OSベンダーが推奨する最新のパッチで更新された状態にしておく必要があります。
既存のWindows VMおよびベア・メタル・インスタンスの保護
Oracle提供のWindowsイメージが更新される前に起動されたベア・メタル・インスタンスには、Intelの最新のマイクロコード・アップデートが必要です。 最新のIntelマイクロコード更新を受け取るには、Windowsのベア・メタル・インスタンスをリサイクルする必要があります。 このステップはVMインスタンスには必要ありません。
-
Windowsベア・メタル・インスタンスの新しいカスタム・イメージを作成します。詳細については、「Windowsカスタム・イメージの作成」を参照してください。
-
既存のWindowsベア・メタル・インスタンスを終了します。
-
ナビゲーション・メニューを開きます。 「コア・インフラストラクチャ」で、「コンピュート」に移動して「カスタム・イメージ」をクリックします。 使用するカスタム・イメージを探します。
-
「アクション」アイコン(3ドット)をクリックし、「インスタンスの作成」をクリックします。
-
「インスタンスの作成」で説明されているような追加の起動オプションを提供します。
これらのステップを完了したら、次のステップを実行して、Microsoftからの最新のOS更新でインスタンスを更新
Windowsイメージには、Microsoftから最新のWindowsアップデートを入手するために実行できるWindows Updateユーティリティが含まれています。 インスタンスが実行されているサブネット上のセキュリティ・リストを構成して、インスタンスがWindows更新サーバーにアクセスできるようにする必要があります。 詳細は、Windowsイメージおよびセキュリティ・リスト用のWindows OSの更新を参照してください。
-
Microsoftから最新のWindows OSセキュリティ・アップデートをインストールしたことを確認してください。
-
自動更新がオンになっている場合、更新はインスタンスに自動的に配信されます。
-
最新のアップデートを手動で確認するには、「開始」を選択します。
-
「設定」で、「&セキュリティを更新」、Windows Updateの順に選択します。
-
Windows Updateで、「アップデートを確認」をクリックします。
-
自動更新を有効にすると、この更新プログラムが自動的にダウンロードされ、インストールされます。 自動更新を有効にする方法の詳細については、Windows Update: FAQを参照してください。
-
詳細は、「この実行サイド・チャネルの脆弱性から保護するためのWindows Serverのガイダンス」を参照してください。
UbuntuまたはCentOSインスタンスへのパッチ適用
Oracle提供の最新のUbuntuイメージまたはCentOSイメージに基づいて新しいVMまたはベア・メタル・インスタンスを作成する場合は、Microarchitectural Data Sampling (MDS)および「MDS - マイクロアーキテクチャ・ストア・バッファ・データ - CVE-2018-12130、CVE-2018-12126、CVE-2018-12127およびCVE-2019-11091」を参照してください。 既存のVMまたはベア・メタル・インスタンスの場合、元のOSベンダーが提供するパッチ適用のガイダンスに従う必要があります。
ノート
「イメージ・リリース・ノート」にリストされている2019年5月14日より後に公開されたイメージには、MDSパッチが含まれます。 以前に起動したイメージを使用する場合は、パッチ適用の指示に従います。
Oracleについて | お問合せ | 法律上の注意点 | 使用条件 | プライバシ | ドキュメントの表記規則 |
Copyright © , Oracle and/or its affiliates. All rights reserved.