2018 年 8 月 16 日午後 2:45 (太平洋夏時間)
CVE 識別番号: CVE-2018-3620、CVE-2018-3646
インテルから、「L1 Terminal Fault」(L1TF) と呼ばれる、プロセッサに関する新しいサイドチャネル分析手法についてのセキュリティアドバイザリ (INTEL-SA-00161) が公開されました。AWS では、これらのタイプの攻撃に対する保護機能を備えたインフラストラクチャを設計および実装し、L1TF 対策となる追加の保護機能もデプロイしました。すべての EC2 ホストインフラストラクチャで、更新によりこれらの新しい保護機能が追加されました。インフラストラクチャレベルでお客様にお願いするアクションは特にありません。
Amazon Linux AMI 2017.09 (ALAS-2018-1058)、Amazon Linux AMI 2018.03 (ALAS-2018-1058)、および Amazon Linux 2 (ALAS-2018-1058) 向けの更新済みカーネルは、それぞれのリポジトリから入手可能です。AWS では、セキュリティに関する一般的なベストプラクティスとして、新たなサイドチャネル問題に対処するための関連パッチが利用可能になり次第、オペレーティングシステムまたはソフトウェアにパッチを適用することを推奨します。
AWS は、更新済みのカーネルを自動的に含む Amazon Linux および Amazon Linux 2 AMI の新バージョンをリリースしました。更新済みカーネルを含むイメージ用の AMI ID は、Amazon Linux 2018.03 AMI ID、Amazon Linux 2 AMI ID、および AWS Systems Manager パラメータストアからお探しいただけます。
さまざまなセキュリティ特権でワークロードが実行される場合、オペレーティングシステムのプロセスの境界またはコンテナに依存するよりも、EC2 インスタンスのより強力なセキュリティおよび隔離プロパティを使用することを推奨します。