Intel L1TF脆弱性に対するOracle Cloudのセキュリティ対応
Intelは、プロセッサに影響を与える一連の投機実行サイドチャネル・プロセッサ脆弱性を発表しました。詳細は、脆弱性に関するノートVU#584653を参照してください。これらのL1 Terminal Fault (L1TF)脆弱性は、複数のIntelプロセッサに影響を及ぼします。次のCVE識別子が付けられています。
-
CVE-2018-3615。Intel Software Guard Extensions (SGX)に影響します。CVSS基本スコアは7.9です。
-
CVE-2018-3620。Intelプロセッサで実行されるオペレーティング・システムおよびシステム管理モード(SMM)に影響します。CVSS基本スコアは7.1です。
-
CVE-2018-3646。Intelプロセッサで実行される仮想化ソフトウェアおよび仮想マシン・モニター(VMM)に影響します。CVSS基本スコアは7.1です。
詳細は、IntelプロセッサのL1TF脆弱性: CVE-2018-3615、CVE-2018-3620、CVE-2018-3646を参照してください。
Oracle Cloud Infrastructure
オラクル社は、悪意のある攻撃者の仮想マシン(VM)インスタンスが、他のVMインスタンスのデータにアクセスすることを防ぐことを目的とした軽減技術をOracle Cloud Infrastructureシステムに導入しました。
ただし、脆弱性CVE-2018-3620のために、ローグ・ユーザー・モード・プロセスが、同じ仮想マシン内の機密性が高いカーネル・メモリーを読み取る可能性があります。そのため、独自のオペレーティング・システム(OS)を管理している場合は、この脆弱性に対処するために、OSセキュリティ・パッチを最新に保つことをお薦めします。
次の項では、軽減策および処理の詳細を説明します。
Oracle Cloud Infrastructure Compute
コンピュート・サービスのVMおよびベア・メタル・インスタンスに関する詳細および必要な処理は、Oracle Cloud Infrastructureカスタマ・アドバイザリ: L1TFのコンピュート・サービスへの影響を参照してください。
Oracle Cloud Infrastructure Database
分析およびデータ・ウェアハウス用Autonomous DatabaseおよびTransaction Processingおよび混合ワークロード用Autonomous Databaseを使用している場合、処理は必要ありません。
VM DBシステム、ベア・メタルDBシステムおよびExadata DBシステム用のOracle Cloud Infrastructure製品に関する詳細および必要な処理は、Oracle Cloud Infrastructureカスタマ・アドバイザリ: L1TFのデータベース・サービスへの影響を参照してください。
Oracle Cloud Infrastructureのプラットフォーム・サービスおよびKubernetesサービス
オラクル社は、悪意のある攻撃者のVMインスタンスが、同じハイパーバイザ上の他のVMインスタンスのデータにアクセスすることを防ぐことを目的とした軽減技術を導入しました。
ただし、脆弱性CVE-2018-3620のために、ローグ・ユーザーモード・プロセスが、同じ仮想マシン内の機密性が高いカーネル・メモリーを読み取る可能性があります。そのため、Oracleは、Oracleによって管理されているすべてのPlatform Serviceホストにパッチを適用しました。独自のオペレーティング・システムを管理している場合は、この脆弱性に対処するために、OSセキュリティ・パッチを最新に保つことをお薦めします。
その他のOracle Cloud Infrastructureサービス
他のすべてのOracle Cloud Infrastructureサービスを保護する目的の軽減処置が導入されています。追加で必要なメンテナンス・アクティビティがある場合は、Oracleによって顧客に直接通知されて調整されます。
Oracle Cloud Infrastructure ClassicおよびOracle Cloud Infrastructure Classic上のOracle Platform Service
詳細は、Oracle Cloud Infrastructure Classicを参照してください。
オラクル社は、Oracle Cloud Infrastructure Classic上のインフラストラクチャおよびプラットフォーム・サービスのための軽減技術を導入しています。このような軽減策を導入するときに、一部の顧客では、それに伴ってリブートや停止時間が発生する場合があります。
脆弱性CVE-2018-3620のために、ローグ・ユーザーモード・プロセスが、同じ仮想マシン内の機密性が高いカーネル・メモリーを読み取る可能性があります。そのため、Oracleは、Oracleによって管理されているすべてのPlatform Serviceホストにパッチを適用しました。独自のオペレーティング・システムを管理している場合は、この脆弱性に対処するために、OSセキュリティ・パッチを最新に保つことをお薦めします。