ハイパーバイザーにパッチが適用されていて、ゲストを信頼している場合、LinuxにMeltdown / Spectreをパッチする必要がありますか？

最初に尋ねた質問に答える：信頼できないコードを実行しているかどうか、MeltdownやSpectreから保護したい場合は、クラウドプロバイダーであってもカーネルをアップグレードする必要があります基礎となるハイパーバイザーにパッチを適用しました。

GCEのお客様へのお知らせ （ Googleセキュリティブログの投稿 からリンクされています。これは詳細については少し軽いですが、 プロジェクトゼロの記事 にもリンクしていますは完全にオンです）、「緩和ステータス」の下で言います：

既知の攻撃に対してパッチを当てたインフラストラクチャ。顧客はゲスト環境にパッチを適用するか更新する必要があります。

Googleを信頼しない場合、 AWSには独自のセキュリティ速報があります は次のように述べています。

AWSが実行する更新は、基盤となるインフラストラクチャを保護しますが、これらの問題から完全に保護するには、インスタンスのオペレーティングシステムにもパッチを適用する必要があります。 Amazon Linuxの更新が利用可能になりました。既存のインスタンスを更新する手順は、このセキュリティ情報に関連する他のAWS関連のガイダンスとともに、以下でさらに説明されています。

これが必要な理由は、準仮想化により、ゲストカーネルがハイパーバイザーからの仲介なしに、CPU内のTLBを直接制御できるようになるためです（これは、直接I/Oとともに、完全仮想化に対する準仮想化の主要なパフォーマンス向上の1つです）。 。したがって、ゲストOSカーネルが緩和策を実装していない場合でも、VMで実行されているプロセスは、同じゲストで実行されているカーネルお​​よび他のプロセスからデータを取得できます。

質問を編集して追加したsecond質問への回答は、あなたが隣人からのリスクにさらされているかどうかに関して、現在入手可能な情報とともに、番号"。今すぐパッチを適用するべきか、それとも通常のパッチサイクルでパッチを適用するべきかという、一見暗に示されている3番目の質問への回答は、あなたが提供した情報では答えられません。そして、私はあなたがそれと「主に意見に基づく」に境界を接していると言っているところまで行きます。