2018/01/06

Windows Containers Base OS Image "Important" Update

例の CPU 脆弱性(Meltdown & Spectre)問題ですが、Windows コンテナーの場合は、コンテナーホスト側の対策(OSの2018-01セキュリティ更新軽減策の有効化ファームウェア更新)+最新のベース OS イメージで対策できるようです。

Windows Server guidance to protect against speculative execution side-channel vulnerabilities
[URL] https://support.microsoft.com/en-us/help/4072698/

"Q6: Are there any Windows Server container-specific guidelines?(Windows Server コンテナー固有のガイドラインってないの?)

A6: The January update for Windows Server container images for Windows Server 2016 and Windows 10 Version 1709 include the mitigations for this set of vulnerabilities, and no additional configuration is required. (1月更新の Windows Server コンテナー イメージにはこの脆弱性用の軽減策が含まれているよ、だから追加の構成は必要ないよ。)
Note You still have to make sure that the host on which these containers are running is configured by using the appropriate mitigations.(でもね、対策済みコンテナーを実行するホスト側では、適切な軽減策を構成しておく必要があるよ。)"

Windows Server 2016 ベースの 10.0.14393.2007 バージョン(latestまたは10.0.14393.2007タグ)と Windows Server バージョン 1709 ベースの 10.0.16299.192 (1709または1709_KB4056892タグ)がリリースされています。

PUBLIC REPOSITORY microsoft/windowsservercore(Docker Hub)
[URL] https://hub.docker.com/r/microsoft/windowsservercore/tags/
PUBLIC REPOSITORY microsoft/nanoserver(Docker Hub)
[URL] https://hub.docker.com/r/microsoft/nanoserver/tags/


Windows Server バージョン 1709 ホストと コンテナー ベース OS イメージを更新してみた。ホストは Sconfig では更新が来なかったので、wget で更新プログラムをダウンロードしてインストール。更新プログラムの URL は別の PC の Microsoft Edge や Firefox  で Microsoft Update Catalog にアクセスすると直リンクをコピーできます(IE だとこれができない)。

対策済みの物理ホストがない(ファームウェアを入手できていない)のであれですけど、ホストと Windows Server コンテナーの両者の Get-SpeculationControlSettings の結果は...

(これが何か意味のあることかどうかは別として)

軽減策有効化前(既定の状態):

軽減策有効化後(FeatureSettingsOverride と FeatureSettingsOverrideMask レジストリ値の作成とホストのコールドブート):
ファームウェアが対応済みになれば、上の赤字(CVE-2017-5715 対策)オール グリーンになるのかな? Windows 7/8.1/10 は既定で緩和策が有効化され、Windows Server はレジストリの設定で有効化されるようです。PCID の有効/無効状態はセキュリティには関係しないそうです。(例の CPU 脆弱性問題にフルアーマーな PC (Windows クライアントとサーバー)

関連:
仕事始めは Windows Update から(例の Intel/AMD/ARM CPU 問題に関する追記あり)

1/8 追記:
対策済み(ファームウェア含め)の Windows 10 上の Hyper-V コンテナーは、最新のベース OS イメージで対策済みになりました。CVE-2017-5754 対策はチェックに失敗していますが、これは Nano Server のコンテナーだから(Get-WmiObject が使えないから)だと思います。Windows Server コンテナー(Windows 10 は非サポート)はホスト上のプロセスなので、ホストが対策されていれば、コンテナーも対策されるはず。

0 件のコメント: