Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「AWS」や「Azure」、「Foreshadow」に対応済み

別名「Foreshadow」と呼ばれる脆弱性「L1 Terminal Fault(L1TF)」が、Intelの一部プロセッサに判明した問題。仮想マシン間で情報漏洩する脆弱性が含まれるが、「AWS」や「Azure」では影響ないとのアナウンスが行われている。

「Amazon Web Service(AWS)」では、サイドチャネル攻撃への保護機能を設計および実装していると説明。さらに今回明らかとなった「Foreshadow」に関する対策も導入済みとしており、インフラレベルにおける利用者側での対応は不要としている。

同社では、EC2インスタンスによる保護を推奨しているが、「Amazon Linux AMI」「Amazon Linux 2」についても、「CVE-2018-3620」や「CVE-2018-3646」へ対応するOSレベルのアップデートを用意。

IPプラグメントが生じる「CVE-2018-5391」とともにこれら脆弱性を修正しており、利用者に対して最新のシステムを利用するよう求めている。

一方「Azure」に関しても、クラウドサービス全体に緩和策を導入済みであるとアナウンス。

インフラストラクチャにおいて「Azure」を実行する顧客のワークロードについて分離を強化し、それぞれが保護されていると説明。同じインフラ上であっても今回の脆弱性を悪用できないとしている。

Azure上で実行するアプリケーションの保護に、OSのアップデートは必要ないとする一方、ソフトウェアを最新の状態に保つことを推奨。Windowsや各Linuxディストリビューションにおいて脆弱性に対処するアップデートがリリースされており、対応を講じるよう呼びかけている。

またアプリケーション内で信頼できないユーザーにコードの実行を許している場合は、追加の対策についてガイダンスを提供している。

(Security NEXT - 2018/08/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

VMwareの複数製品に「runc」の脆弱性 - 一部製品にアップデート
「なりすまし」生じる「Exchange Server」の脆弱性へ対処 - MS
MS月例パッチ 、脆弱性74件を修正- 悪用確認済みのゼロデイ脆弱性にも対応
コンテナランタイム「runc」の脆弱性、実証コードが複数公開 - 早期対策を
「ColdFusion」に深刻な脆弱性 - コード実行のおそれ
Mozilla、3件の脆弱性に対処した「Firefox 65.0.1」をリリース
「Exchange Server」の深刻な脆弱性、MSがアップデートを開発中
「MS Exchange 2013」以降に脆弱性「PrivExchange」 - ドメイン管理者権限奪われるおそれも
「Adobe Acrobat/Reader」に多数の深刻な脆弱性 - 予告より高い重要度
「Adobe Flash Player」にアップデート - 情報漏洩の脆弱性を解消