Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

「AWS」や「Azure」、「Foreshadow」に対応済み

別名「Foreshadow」と呼ばれる脆弱性「L1 Terminal Fault(L1TF)」が、Intelの一部プロセッサに判明した問題。仮想マシン間で情報漏洩する脆弱性が含まれるが、「AWS」や「Azure」では影響ないとのアナウンスが行われている。

「Amazon Web Service(AWS)」では、サイドチャネル攻撃への保護機能を設計および実装していると説明。さらに今回明らかとなった「Foreshadow」に関する対策も導入済みとしており、インフラレベルにおける利用者側での対応は不要としている。

同社では、EC2インスタンスによる保護を推奨しているが、「Amazon Linux AMI」「Amazon Linux 2」についても、「CVE-2018-3620」や「CVE-2018-3646」へ対応するOSレベルのアップデートを用意。

IPプラグメントが生じる「CVE-2018-5391」とともにこれら脆弱性を修正しており、利用者に対して最新のシステムを利用するよう求めている。

一方「Azure」に関しても、クラウドサービス全体に緩和策を導入済みであるとアナウンス。

インフラストラクチャにおいて「Azure」を実行する顧客のワークロードについて分離を強化し、それぞれが保護されていると説明。同じインフラ上であっても今回の脆弱性を悪用できないとしている。

Azure上で実行するアプリケーションの保護に、OSのアップデートは必要ないとする一方、ソフトウェアを最新の状態に保つことを推奨。Windowsや各Linuxディストリビューションにおいて脆弱性に対処するアップデートがリリースされており、対応を講じるよう呼びかけている。

またアプリケーション内で信頼できないユーザーにコードの実行を許している場合は、追加の対策についてガイダンスを提供している。

(Security NEXT - 2018/08/17 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Fleet」のWindows MDM登録に深刻な脆弱性 - 不正端末混入のおそれ
「NVIDIA Merlin Transformers4Rec」に脆弱性 - 権限昇格などのおそれ
ブラウザ「Chrome」のスクリプト処理に脆弱性 - 更新版を公開
ビデオ会議「Zoom」のオンプレミス製品に「クリティカル」脆弱性
WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ
キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性
「OpenStack」の認証ミドルウェアに脆弱性 - 権限昇格やなりすましのおそれ
「ConnectWise PSA」にXSSなど複数脆弱性 - 修正版が公開
コンテナ管理ツール「Arcane」にRCE脆弱性 - 最新版で問題機能を削除
「Apache bRPC」に深刻なRCE脆弱性 - アップデートやパッチ適用を

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.