Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「AWS」や「Azure」、「Foreshadow」に対応済み

別名「Foreshadow」と呼ばれる脆弱性「L1 Terminal Fault(L1TF)」が、Intelの一部プロセッサに判明した問題。仮想マシン間で情報漏洩する脆弱性が含まれるが、「AWS」や「Azure」では影響ないとのアナウンスが行われている。

「Amazon Web Service(AWS)」では、サイドチャネル攻撃への保護機能を設計および実装していると説明。さらに今回明らかとなった「Foreshadow」に関する対策も導入済みとしており、インフラレベルにおける利用者側での対応は不要としている。

同社では、EC2インスタンスによる保護を推奨しているが、「Amazon Linux AMI」「Amazon Linux 2」についても、「CVE-2018-3620」や「CVE-2018-3646」へ対応するOSレベルのアップデートを用意。

IPプラグメントが生じる「CVE-2018-5391」とともにこれら脆弱性を修正しており、利用者に対して最新のシステムを利用するよう求めている。

一方「Azure」に関しても、クラウドサービス全体に緩和策を導入済みであるとアナウンス。

インフラストラクチャにおいて「Azure」を実行する顧客のワークロードについて分離を強化し、それぞれが保護されていると説明。同じインフラ上であっても今回の脆弱性を悪用できないとしている。

Azure上で実行するアプリケーションの保護に、OSのアップデートは必要ないとする一方、ソフトウェアを最新の状態に保つことを推奨。Windowsや各Linuxディストリビューションにおいて脆弱性に対処するアップデートがリリースされており、対応を講じるよう呼びかけている。

またアプリケーション内で信頼できないユーザーにコードの実行を許している場合は、追加の対策についてガイダンスを提供している。

(Security NEXT - 2018/08/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Flash Player」に2件の深刻な脆弱性 - アップデートをリリース
MS、月例パッチで脆弱性79件を修正 - 一部でゼロデイ攻撃が発生
CMSの「SHIRASAGI」にオープンリダイレクトの脆弱性
法人向け「ウイルスバスター」狙う攻撃が複数発生 - 設定無効化のおそれ
「Exim」に深刻な脆弱性 - リモートよりコマンド実行のおそれ
日本語などテキスト処理に脆弱性、Win XP以降に存在 - 報告者が詳細公表
GPSトラッカー約30機種に脆弱性 - 位置情報流出や不正操作のおそれ
「Android」に権限昇格のおそれ - パッチは未提供
複数脆弱性を解消した「WordPress 5.2.3」がリリース
「SSL VPN」の脆弱性探索行為、国内でも観測