【2019/12/18更新】VPSクラウド CPUの脆弱性に関するお知らせ

株式会社NTTPCコミュニケーションズ
2019年12月18日

平素はWebARENA VPSクラウドをご利用くださり誠にありがとうございます。
CPU起因の脆弱性が報告されており、悪意あるプログラムが配置された場合、サーバー内のメモリ上にある情報を不正に読み取られる可能性があります。弊社対応およびお客さまへお願いする事項をお知らせいたします。
本件に関する対応は完了しました。

• CVE-2017-5754(Meltdown)
• CVE-2017-5753(Spectre)
• CVE-2017-5715(Spectre)

＜参考：Japan Vulnerability Notes＞

• https://jvn.jp/vu/JVNVU93823979/index.html

（2019年12月18日追記）
上記の脆弱性について、ホストサーバーでの対応を完了いたしました。
なお、お客さまにおいては仮想サーバーのOSアップデート実行をお願いします。

■お客さまへお願いする事項 はこちら

（2018年5月15日追記）
各OSベンダーやハードウェアベンダーから提供されたパッチを使った脆弱性対策の確認を行った結果、CPUの処理性能が著しく低下する事が判明したため、ホストサーバーでの対応は行わず、脆弱性対策済みゲストOS提供の準備を行っております。

対策済みゲストOSは、「Retpoline」という手法を用いたkernelを搭載しているため、これまで問題となっていたパフォーマンスの低下が緩和された脆弱性対策が可能です。
対象はCentOS7.5です。準備が整い次第、提供します。

またCentOS7 を既にご利用のお客さまは、以下の手順でkernelパッケージのアップデートを実行することで、対策を実施することができます。

＜ kernelパッケージのアップデート実行手順（CentOS7のみ）＞
1．「/etc/yum.conf」ファイルを編集
2．「exclude ...」行の先頭に「#」を追加することでコメントアウト
　　「/etc/yum.conf」ファイルを保存
3．「yum update」コマンドを実行
4．「reboot」コマンド等で仮想サーバーを再起動
5．「uname -r」コマンドでKernelパッケージアップデートの確認

　# uname –r
　kernel-3.10.0-862.el7

※「3.10.0-862.el7」以降のバージョンが表示されている事を確認
6．「/etc/yum.conf」ファイルを編集
7．「exclude ...」行の先頭の「#」を削除。「/etc/yum.conf」ファイルを保存

CentOS6以前のOSをご利用のお客さまは、対策済みCentOS7.5で環境を 再構築する必要があります。

（2018年2月6日追記）
弊社エンジニアにより、各OSベンダーやハードウェアベンダーから提供されたパッチを使った脆弱性対策の確認を実施しております。
しかし、提供されたパッチに問題があり、対策が不十分な状況となっています。
継続して対処策の検討を行っておりますので、対応まで今しばらくお待ちください。

■弊社対応状況

(1) IPSによる対応
インターネット側上位NW機器において、IPS対策シグネチャーの適用を開始しました。
今回の脆弱性をついた攻撃用プログラムが送り込まれようとした際に検知し、プログラムの配置を防ぎます。
※512Mと1GのSSDタイプ（KVM）のインスタンスは対象外です。

(2) ホストサーバーの対応 【2019/12/18完了】
お客さま仮想サーバーを収容するホストサーバーOSへ対策パッチの適用の準備を進めております。
具体的なスケジュール等については別途お知らせします。

■お客さまへお願いする事項

(1) KVM版仮想サーバーのCentOSアップデート
「cat /etc/yum.conf」コマンド等でkernelパッケージの自動アップデートに関する設定を確認してください。
「exclude …」の行頭に「＃」がないかつkernelの記述がある場合、kernelパッケージの自動アップデートはされていません。

以下の手順でアップデートを実行する必要があります。kernelパッケージのアップデートが完了すると、仮想サーバーの再起動が必要となります。

1．「/etc/yum.conf」ファイルを編集
2．「exclude ...」行の先頭に「#」を追加することでコメントアウト、 「/etc/yum.conf」ファイルを保存
3．「yum update」コマンドを実行
4．(CentOS6の場合のみ必要)
　　「/boot/grub/grub.conf」ファイルを編集
　　「default ...」行を「default=0」にし、「/boot/grub/grub.conf」ファイルを保存
5．「reboot」コマンド等で仮想サーバーを再起動
6．「uname -r」コマンドでkernelパッケージアップデートの確認

　　（Cent6の場合）
　　　# uname -r
　　　2.6.32-696.18.7.el6.x86_64　　※「2.6.32-696.18.7」以降のバージョンが表示されている事を確認

　　（Cent7の場合）
　　　# uname -r
　　　3.10.0-693.11.6.el7.x86_64　　※「3.10.0-693.11.6」以降のバージョンが表示されている事を確認

7．「/etc/yum.conf」ファイルを編集
8．「exclude ...」行の先頭の「#」を削除、 「/etc/yum.conf」ファイルを保存

※その他のOS利用の方は、ご自身でソフトウェアアップデートをお願いいたします。
※2018年1月11日時点で提供されている初期OSのバージョン、「CentOS6.5」、「CentOS7.3」で手順を検証済みです。

・本内容は、2018年1月12日時点の情報に基づきご案内しております。
今後、情報および対応状況等に変更が発生した場合には、本お知らせページの更新にてご案内します。

今後とも、WebARENA VPSクラウドをよろしくお願い申し上げます。