ログインまたはコンソールをアクセス

OK

Alibaba Cloud 重要なセキュリティ情報に関するお知らせ

平素より弊社サービスをご利用いただきありがとうございます。
重要なセキュリティ情報についてお知らせいたします。

この度、Intel プロセッサーの重大なセキュリティ上の脆弱性が発表されました。この脆弱性によって、アプリケーションが許可されていないカーネルデータにアクセスできるため、オペレーティングシステムのカーネル情報が読み取られる可能性があります。
Alibaba Cloud では、この脆弱性が発表される前に Intel と情報共有し、対策を検討し始めております。尚、現時点で脆弱性に対する攻撃プログラムは検出されていません。

Intel プロセッサーのセキュリティ上の脆弱性への対策は、2つの部分から構成されています。1つはクラウドプラットフォーム仮想化ホストの修正、もう1つは、ゲスト内のオペレーションシステムを更新することです。
Alibaba Cloud では、クラウドプラットフォームの脆弱性への対応を開始しました。対応作業は、2018年1月13日 午前1:00 2018年1月20日 午前1:00(日本時間)までに完了する予定です。この作業はホットアップグレードで行うため、通常はお客様への影響はございません。
しかしながら、過去10年間のほとんどの Intel CPU モデルにこの脆弱性が存在するため、一部のシナリオではホットアップグレードがサポートされません。そのため、修正作業に伴い、お客様への影響が想定される場合は、事前にご連絡させていただきます。

クラウドプラットフォームの脆弱性対策実施後、お客様におかれましてはオペレーティングシステムの修正パッチをインスタンスに適用する必要がございまます。Alibaba Cloud は、Intel、マイクロソフト、および Linux ディストリビューションベンダーと協力し、オペレーティングシステムのアップデートソリューションを準備しております。最新の進捗状況は随時お知らせいたします。


本件に関してご質問、ご不明点がございましたら、サポートセンターまでお問い合わせください。
今後とも Alibaba Cloud をご愛顧賜りますようお願い申し上げます。

◆ チケットによるお問い合わせ: サポートセンター


[2018/01/11 更新]
1. クラウドプラットフォームの基盤となるインフラストラクチャの脆弱性に対して:ユーザーのビジネスの安定性を確保するために、更新バッチを改善し、更新頻度を減らします。最後のバッチは1月20日までに更新完成する予定です。更新が完了次第、お知らせします。

    [2018/01/10 更新]
    1. ユーザーオペレーティングシステム層の脆弱性:以下のオペレーティングシステムのパッチが更新されました。

    • Ubuntu and Debain CVE-2017-5754 パッチ更新
    • Ubuntu and Debain リペアメソッドアップデート

    [2018/01/08 更新]
    1. クラウドプラットフォームインフラストラクチャの潜在的な脆弱性:予定していたとおり、ホットアップグレードを用い脆弱性の修復作業を実施します。この作業は、脆弱性の影響を受けるすべての製品シリーズに適用されます。 また作業よるお客様への影響は、通常ございません。 なお、SGXベースのすべての製品について修理が完了しました。
    2. ユーザーオペレーティングシステム層の脆弱性:以下のオペレーティングシステムのパッチが更新されました。

    • openSUSE(一部の脆弱性対策が更新されました)

    [2018/01/07 更新]
    1. クラウドプラットフォームインフラストラクチャの潜在的な脆弱性:現在、バッチ処理が進行中です。
    2. ユーザーオペレーティングシステム層の脆弱性:以下のオペレーティングシステムのパッチが更新されました。

    • CoreOS 1465.8.0(いくつかの脆弱性対策が更新されました)

    [2018/01/06 更新]
    1. クラウドプラットフォームインフラストラクチャの潜在的な脆弱性:SGXベースの有償製品について修復が完了しました。
    2. ユーザーオペレーティングシステム層の脆弱性:以下のオペレーティングシステムのパッチが更新されました。

    • Debian 9(いくつかの脆弱性対策が更新されました)
    • SUSE Linux Enterprise Server 12 SP3

    [2018/01/05 更新]
    1. クラウドプラットフォームインフラストラクチャの潜在的な脆弱性について、修復および更新作業を開始いたしました。
    2. ユーザーオペレーティングシステム層の脆弱性については、オペレーティングシステム層でパッチを適用し修復する必要があります。これまでにリリースされたオペレーティングシステムパッチの更新は次のとおりです。

    • Windows 2008 R2 / 2012 R2 / 2016 R2 /バージョン1709
    • CentOS
    • Redhat el6 / el7
    • SUSE Linux Enterprise Server 11.4 / 12.2

    特定の状況と注意事項については、以下のリンクをご参照ください。
    https://jp.alibabacloud.com/help/faq-detail/64951.html

    注意:現在、Linuxシステム上の個別パッチがパフォーマンスに影響を与える可能性があることが判明しています。この脆弱性は、機密情報へのアクセス権を得るためのローカル認証によってのみ取得できます。サービスの安定性を確保するために、お客様のビジネス環境に応じて、この脆弱性をアップグレードする必要があるかどうかを判断する必要があります。脆弱性を修復するにあたり、事前検証と必要なデータバックアップが完了していることをご確認ください。



    ※本文中に記載されている社名・商品名等は各社の商標または登録商標です。