平素は、KDDIクラウドプラットフォームサービスをご利用頂きまして誠にありがとうございます。

日本時間の2018年1月4日に、下記の脆弱性情報が報告されました。
Meltdown and Spectre (https://meltdownattack.com/)

本脆弱性に関し、お客さまご利用のインスタンス(仮想サーバー)のOSに対する対応について、下記のとおりご案内いたします。
ご理解賜りますよう、何卒よろしくお願い申し上げます。

※第4報についてはこちらをご参照ください。

脆弱性の概要

プロセッサに起因する脆弱性の影響により、サーバー上のデータを悪意あるプログラムに読み取られる可能性が指摘されております。
結果として、サーバー上の情報を予期せず参照される可能性がございます。
なお、各脆弱性に関する概要は以下の通りです。
– Meltdown (CVE-2017-5754)
– Spectre (CVE-2017-5715, CVE-2017-5753)

影響サービス

KCPS ver1 / KCPS ver2

ゲストOSのパッチ提供

弊社試験において、お客さまご利用のインスタンスのOSに本パッチを適用することでインスタンスのパフォーマンスに影響があることを確認しております。

影響の程度につきましてはお客さまのご利用方法に応じますため、実際のシステムで発生するパフォーマンスの影響を評価の上、

ご適用いただきますようよろしくお願いいたします。

パッチ適用の実施には下記のパッチ適用手順書をご参照ください。

※本ご案内でのパッチのご提供はKCPS ver2のみとなります。KCPS ver1は第4報でご案内しているメンテナンス作業終了後のご案内を予定しております。

　■パッチ適用手順書

– WindowsOSはこちらをご参照ください。

– Red Hat Enterprise Linux(RHEL)　および　CentOSはこちらをご参照ください。

※アップデートを反映させるためにはAdminConsoleからインスタンスの停止・起動が必須となりますので、ご注意ください。

本脆弱性対応済テンプレートのご提供

脆弱性対応のためのパッチをインストールした新しいテンプレートにつきましては、以下ページをご確認ください。

■KCPS提供テンプレート一覧(Ver.2)

※本ご案内でのパッチのご提供はKCPS ver2のみとなります。KCPS ver1は第6報をご参照ください。

※WindowsOSは、上記「パッチ適用手順書」をご参照の上、
　更新プログラムのチェックにてWindows Updateを実施して頂くことで本脆弱性対応が可能です。

<参考情報>

　■WindowsOS

◇ADV180002 | 投機的実行のサイドチャネルの脆弱性を緩和するガイダンス
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180002

◇Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス
https://support.microsoft.com/ja-jp/help/4072698/

　■Red Hat Enterprise Linux(RHEL)

◇投機的実行の脆弱性によるパフォーマンスへの影響 – CVE-2017-5754、CVE-2017-5753、および CVE-2017-5715 に対するセキュリティーパッチによるパフォーマンスへの影響
https://access.redhat.com/ja/articles/3315851

◇カーネルのサイドチャネル攻撃 – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715
https://access.redhat.com/ja/security/vulnerabilities/3311961

今後もお客さまにとって安心してご利用いただけるクラウドサービスを目指して日々邁進してまいります。
引き続きKCPSをご愛顧賜りますようよろしくお願いいたします。

※本内容は2018年8月24日時点の情報に基づき記載しており、現在も影響範囲の調査や検証を継続実施中です。
　そのため、場合によっては、上記内容に変更が生じる可能性がございます。
　変更が生じた場合は、本Webサイト上で都度ご案内いたしますので、あらかじめご了承いただきたく、よろしくお願いいたします。