web-dev-qa-db-ja.com

ハイパーバイザーにパッチが適用されていて、ゲストを信頼している場合、LinuxにMeltdown / Spectreをパッチする必要がありますか?

VMをAmazon EC2またはMicrosoft Azureで実行していて、基盤となるハイパーバイザーにパッチを適用した場合、LinuxカーネルをアップグレードしてMeltdownまたはSpectreから保護する必要がありますか?

VMで信頼されていないソフトウェアを実行していないと仮定します。

カーネルにパッチを適用しないと、VMで信頼されていないソフトウェアが実行される危険にさらされます。これは通常の(非仮想)サーバーと同じなので、面白くありません。

ハイパーバイザーにパッチが適用されていても、カーネルにパッチが適用されていない場合、近隣の(侵害された、または悪意のある)ゲストからのリスクがありますか?

5
Roger Lipscombe

最初に尋ねた質問に答える:信頼できないコードを実行しているかどうか、MeltdownやSpectreから保護したい場合は、クラウドプロバイダーであってもカーネルをアップグレードする必要があります基礎となるハイパーバイザーにパッチを適用しました

GCEのお客様へのお知らせGoogleセキュリティブログの投稿 からリンクされています。これは詳細については少し軽いですが、 プロジェクトゼロの記事 にもリンクしていますは完全にオンです)、「緩和ステータス」の下で言います:

既知の攻撃に対してパッチを当てたインフラストラクチャ。顧客はゲスト環境にパッチを適用するか更新する必要があります。

Googleを信頼しない場合、 AWSには独自のセキュリティ速報があります は次のように述べています。

AWSが実行する更新は、基盤となるインフラストラクチャを保護しますが、これらの問題から完全に保護するには、インスタンスのオペレーティングシステムにもパッチを適用する必要があります。 Amazon Linuxの更新が利用可能になりました。既存のインスタンスを更新する手順は、このセキュリティ情報に関連する他のAWS関連のガイダンスとともに、以下でさらに説明されています。

これが必要な理由は、準仮想化により、ゲストカーネルがハイパーバイザーからの仲介なしに、CPU内のTLBを直接制御できるようになるためです(これは、直接I/Oとともに、完全仮想化に対する準仮想化の主要なパフォーマンス向上の1つです)。 。したがって、ゲストOSカーネルが緩和策を実装していない場合でも、VMで実行されているプロセスは、同じゲストで実行されているカーネルお​​よび他のプロセスからデータを取得できます。

質問を編集して追加したsecond質問への回答は、あなたが隣人からのリスクにさらされているかどうかに関して、現在入手可能な情報とともに、番号"。今すぐパッチを適用するべきか、それとも通常のパッチサイクルでパッチを適用するべきかという、一見暗に示されている3番目の質問への回答は、あなたが提供した情報では答えられません。そして、私はあなたがそれと「主に意見に基づく」に境界を接していると言っているところまで行きます。

4
womble