Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「AWS」や「Azure」、「Foreshadow」に対応済み

別名「Foreshadow」と呼ばれる脆弱性「L1 Terminal Fault(L1TF)」が、Intelの一部プロセッサに判明した問題。仮想マシン間で情報漏洩する脆弱性が含まれるが、「AWS」や「Azure」では影響ないとのアナウンスが行われている。

「Amazon Web Service(AWS)」では、サイドチャネル攻撃への保護機能を設計および実装していると説明。さらに今回明らかとなった「Foreshadow」に関する対策も導入済みとしており、インフラレベルにおける利用者側での対応は不要としている。

同社では、EC2インスタンスによる保護を推奨しているが、「Amazon Linux AMI」「Amazon Linux 2」についても、「CVE-2018-3620」や「CVE-2018-3646」へ対応するOSレベルのアップデートを用意。

IPプラグメントが生じる「CVE-2018-5391」とともにこれら脆弱性を修正しており、利用者に対して最新のシステムを利用するよう求めている。

一方「Azure」に関しても、クラウドサービス全体に緩和策を導入済みであるとアナウンス。

インフラストラクチャにおいて「Azure」を実行する顧客のワークロードについて分離を強化し、それぞれが保護されていると説明。同じインフラ上であっても今回の脆弱性を悪用できないとしている。

Azure上で実行するアプリケーションの保護に、OSのアップデートは必要ないとする一方、ソフトウェアを最新の状態に保つことを推奨。Windowsや各Linuxディストリビューションにおいて脆弱性に対処するアップデートがリリースされており、対応を講じるよう呼びかけている。

またアプリケーション内で信頼できないユーザーにコードの実行を許している場合は、追加の対策についてガイダンスを提供している。

(Security NEXT - 2018/08/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Webmin」にループDoS攻撃受ける脆弱性 - 最新版に更新を
ロードバランサー「LoadMaster」にCVSS最高値の脆弱性
WP向け人気キャッシュプラグインに深刻な脆弱性 - 8月に続き再度修正
「Atlassian Confluence」の既知脆弱性狙う攻撃が6月より増加
ランサムウェア「RansomHub」が猛威 - 7カ月で200件超の被害
「One Identity Safeguard」に深刻な脆弱性 - 特定環境下で影響
ネットワーク監視ツール「Progress WhatsUp Gold」に深刻な脆弱性
JuniperのSIEM製品に多数脆弱性 - アップデートで解消
ビデオ会議の「Zoom」にアドバイザリ - 誤公開の可能性も
バックアップソフトなど複数のVeeam製品に深刻な脆弱性