Amazon Web Services(AWS)などのクラウドサービスプロバイダーは、事前に限定開示された情報をもとに再起動を行って脆弱性を修正した。
オープンソースのハイパーバイザー「Xen」の脆弱性に関する情報が10月1日付で一般に公開された。Xen Projectは2日のブログでこの脆弱性に関する詳細と、情報公開までの経緯について説明している。Amazon Web Services(AWS)などのクラウドサービスプロバイダーは、事前に限定開示された情報をもとに対応を済ませていた。
Xen Projectによると、脆弱性は、x86プロセッサ上でHVMゲストを実行する際に使われるエミュレーションコードの問題に起因する。悪用された場合、攻撃者がゲストOSの権限を昇格させてホストをクラッシュさせたり、そのゲストに割り当てられていないメモリを読んだりすることが可能だった。
この脆弱性はXen 4.1までのバージョンに存在する。影響を受けるのはx86システムのみで、ARMシステムは影響を受けない。
Xen Projectは通常、個々の脆弱性についてはセキュリティアドバイザリー以上のコメントは出していないという。しかし今回はBashの重大な脆弱性が発覚したタイミングと重なり、大手クラウドプロバイダーのメンテナンス通知で注目が集まったことから、詳しい経緯を説明することにしたという。
脆弱性情報は、Xen Projectが定める手順に従ってまず一部の組織を対象に限定公開された。AWSはこの情報に基づいて、EC2のメンテナンスを目的とした再起動を行うと9月25日のブログで発表。Xen Projectが情報を公開した1日には、予定通りに対応を済ませたと報告した。
Copyright © ITmedia, Inc. All Rights Reserved.