セキュリティ脆弱性に関する対応について(更新版)


CPUの脆弱性に関する対応について」で公開しております、
2018年1月以降のCPUの脆弱性、2018年10~11月の重要度高のセキュリティ脆弱性に
関する対応の最新情報についてお知らせいたします。

情報に更新がある場合は、こちらで随時公開いたします。

■BIGLOBEクラウドホスティング仮想化基盤の今後の対策について

仮想化基盤 : BIGLOBEクラウドホスティングの仮想化基盤
お客様仮想サーバ : BIGLOBEクラウドホスティングでお客様がご利用中のサーバ

◇仮想化基盤での基盤ソフトのアップデート
(2019/1/29更新)
上記セキュリティ脆弱性に対応するために、2019年1月以降で順次アップデートを実施していきます。
上記セキュリティ脆弱性に対応するために、2019/2/13以降で順次アップデートを実施していきます。仮想化基盤での基盤ソフトのアップデート後は、お客様にてご利用中のLinux OSについては、kernelのバージョンによって、性能が劣化するリスクがあるため、2019/2/13までに、発行日が2018/7/31以降の下記kernelを含むパッチ適用を推奨いたします。以下に列挙している情報を参考にください。

※Windows OSにつきましては、現時点で、性能劣化することを確認できておりません。
※詳細につきましては、ページ下部の参考情報に記載されていますRedhat社のURLをご参照ください。

■RHEL6
———————————————————————
名称:speculativeexecution
発行日:2018-01-03
rpmパッケージ:kernel-2.6.32-696.18.7.el6.x86_64.rpm

名称:ssbd(Speculative-Store-Bypass-Disable)
発行日:2018-06-19
rpmパッケージ:kernel-2.6.32-754.el6.x86_64.rpm

名称:L1TF(L1 Terminal Fault)
発行日:2018-07-31
rpmパッケージ:kernel-2.6.32-754.3.5.el6.x86_64.rpm
———————————————————————

■RHEL7
———————————————————————
名称:speculativeexecution
発行日:2018-01-03
rpmパッケージ:kernel-3.10.0-693.11.6.el7.x86_64.rpm

名称:ssbd(Speculative-Store-Bypass-Disable)
発行日:2018-06-19
rpmパッケージ:kernel-3.10.0-862.6.3.el7.x86_64.rpm

名称:L1TF(L1 Terminal Fault)
発行日:2018-07-31
rpmパッケージ:kernel-3.10.0-862.11.6.el7.x86_64.rpm
———————————————————————

・お客様への依頼事項
CVE-2017-5715のセキュリティ脆弱性対応を有効にするために、
弊社にて基盤ソフトのアップデートが完了した後に
お客様仮想サーバのシャットダウン/PowerON(リブートではなく)の
実施をお願いいたします。実施いただくことで、対応が有効になります。
実施いただく時期については別途ご連絡いたします。

◇お客様仮想サーバへの対応について
・お客様仮想サーバのOSパッチ適用
お客様仮想サーバに対して、弊社がパッチ適用を実施することは出来ませんので
お客様にて実施していただく必要がございます。
OSに関する対策につきましてはお客様にてご検討願います。
必要に応じて各OSベンダーから対策パッチや適用手順等の情報を入手してください。
OSパッチ適用で、適用前と比べて性能が劣化する可能性があります。
パフォーマンス低下の度合いはお客様の使用状況により異なりますので、
事前に性能劣化の度合いを検証していただくことを推奨いたします。

※新規購入頂く仮想サーバについては、
弊社にて2018年12月以前にリリースされたパッチは適用済みです。
念のため、お客様ご自身で仮想サーバ作成後にパッチ適用状況を
ご確認ください。

■参考情報

JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)
https://jvn.jp/vu/JVNVU93823979/
JVNVU#97971879(CVE-2018-3639、CVE-2018-3640)
https://jvn.jp/vu/JVNVU97971879/
JVNVU#97646030(CVE-2018-3615, CVE-2018-3620, CVE-2018-3646)
https://jvn.jp/vu/JVNVU97646030/

http://www.security-next.com/099877
http://www.security-next.com/099093

Red Hat Enterprise Linuxをお使いのお客様は、以下についてもご確認ください。
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://access.redhat.com/security/vulnerabilities/ssbd
https://access.redhat.com/security/vulnerabilities/L1TF

Windows Serverをお使いのお客様は、以下についてもご確認ください。
Microsoft Japan Windows Technology Support
https://blogs.technet.microsoft.com/askcorejp/2018/01/16/adv180002/

以上

カテゴリー: サービス・イベント情報 パーマリンク