Amazon Linux 歴代リポジトリのカーネル情報を確認してみた(2012.09〜2017.09)

はじめに

AWSチームのすずきです。

古いAmazon Linux環境をメンテナンスする事前準備として、歴代のAmazonLinux(2012.09以降)のリポジトリを利用して、現時点(2018年1月現在)でインストールされるカーネルのバージョンを確認する機会がありましたので、紹介させていただきます。

確認手順

EC2

AMIは東京リージョンで公開されている AmazonLinux 2012.09 を利用しました。

• amzn-ami-hvm-2012.09.0.x86_64-ebs - ami-426cd343

以下の「Userdata」を利用し、AmazonLinuxデフォルトのセキュリティパッチ機能を抑止して、EC2インスタンスを起動しました。

#cloud-config
repo_upgrade: none

yum

「/etc/yum/vars/releasever」にAmazonLinuxの歴代バージョンを反映し、 歴代バージョンのリポジトリを利用したアップデートを実施、インストールされたカーネルパッケージ情報を確認しました。

• 利用スクリプト

a=(2012.09 2013.03 2013.09 2014.03 2014.09 2015.03 2015.09 2016.03 2016.09 2017.03 2017.09)

for b in ${a[@]}; do
echo "${b}" | sudo tee /etc/yum/vars/releasever
sudo yum clean all
sudo yum update -y
rpm -qi kernel > ${b}.txt
done

結果

2018年1月11日現在、AmazonLinux 2012.09から2017.09までのリポジトリからインストールされたカーネル情報は以下の通りでした。

まとめ

CVE-2017-5754、通称「Meltdown」として報告されているCPU由来の脆弱性、 AWSのハイパーバイザーレベルでの対策は完了しており、 仮想ホストとインスタンス、及び、同一ホストに共存するインスタンス間で メモリ内容が不正に参照されるリスクについては対策済みと報告されています。

プロセッサの投機的実行に関する調査の公開について

AmazonLinux上で動作するアプリケーション間で生じうるリスクについては、 下記アップデートを含む「4.9.75-25.55.amzn1.x86_64」以降のカーネルを利用する事で軽減させる事が可能です。

• Amazon Linux AMI Security Center: ALAS-2018-939

AmazonLinux のデフォルトでは「latest」のリポジトリが利用されるため、最新カーネルへのアップデートが可能ですが、 AmazonLinuxをバージョン固定で利用している環境では、リポジトリの切替後にカーネルアップデートをお試しください。

尚、今回確認を実施した素のAmazonLinuxでは、「2012.09」から「2017.09」までのアップデートは問題なく完了しましたが、 検証環境を利用したアプリケーションやミドルウェア動作の事前確認や、システムバックアップとなるAMI、スナップショットの取得などを実施した上で、 アップデートを行う事をお薦めします。

Amazon Linuxのリリースバージョンを固定する