Intel Microarchitectural Data Sampling (MDS)脆弱性に対するOracle Cloudのセキュリティ対応
Intelは、Intelプロセッサに影響するこれらの投機的実行サイドチャネル・プロセッサの脆弱性を明らかにしました。
これらの脆弱性には次のCVE識別子が付けられています:
-
CVE-2019-11091: Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126: Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127: Microarchitectural Load Port Data Sampling (MLPDS)
-
CVE-2018-12130: Microarchitectural Fill Buffer Data Sampling (MFBDS)
詳細は、https://blogs.oracle.com/security/intelmdsを参照してください。
Oracle Cloud Infrastructure
オラクル社は、悪意のある攻撃者の仮想マシン(VM)インスタンスが、他のVMインスタンスのデータにアクセスすることを防ぐことを目的とした軽減技術をOracle Cloud Infrastructureシステムに導入しました。
ただし、独自のオペレーティング・システム(OS)を管理している場合は、この脆弱性に対処するために、OSセキュリティ・パッチを最新に保つことをお薦めします。
次の項では、軽減策および処理の詳細を説明します。
Oracle Cloud Infrastructure Compute
コンピュート・サービスのVMおよびベア・メタル・インスタンスに関連する詳細および必要なアクションについては、Oracle Cloud Infrastructure Customer Advisory for MDS Impact on the Compute Serviceを参照してください。
Oracle Cloud Infrastructure Database
分析およびデータ・ウェアハウス用Autonomous DatabaseおよびTransaction Processingおよび混合ワークロード用Autonomous Databaseを使用している場合、処理は必要ありません。
VM DBシステム、ベア・メタルDBシステムおよびExadata DBシステム用の製品に関する詳細および必要な処理は、Oracle Cloud Infrastructureカスタマ・アドバイザリ: MDSのデータベース・サービスへの影響を参照してください。
Oracle Cloud Infrastructure Container Engine for Kubernetes
Oracle Cloud Infrastructure Container Engine for Kubernetes,の既存のワーカー・ノードを保護するには、現在のノード・プールを新しいノード・プールで置き換えることをお薦めします。管理対象ノードの新しいKubernetesバージョンへのアップグレードで説明されている手順に従います。2019年5月14日より後に作成またはアップグレードされたすべてのワーカー・ノードは、このセキュリティ問題の影響を受けません。
その他のOracle Cloud Infrastructureサービス
他のすべてのOracle Cloud InfrastructureサービスをMDSプロセッサ脆弱性に対する保護を目的とした軽減技術が導入されています。他の保守活動が必要な場合は、Oracleから顧客に通知されます。
Oracle Cloud Infrastructure ClassicおよびOracle Cloud Infrastructure Classic上のOracle Platform Service
詳細は、Oracle Cloud Infrastructure Classicを参照してください。
MDSプロセッサ脆弱性に対応して、オラクル社は、Oracle Cloud Infrastructure Classicのインフラストラクチャおよびプラットフォーム・サービスに必須のメンテナンスを実行します。
オラクル社が管理しているプラットフォーム・サービス・ホストには対するパッチ適用が進められています。独自のオペレーティング・システム(OS)を管理している場合は、これらの脆弱性に対処するために、適切なOSセキュリティ・パッチを最新に保つことをお薦めします。