Para responder a la pregunta que originalmente hizo: si está ejecutando o no un código que no es de confianza, si desea protegerse contra Meltdown o Spectre, aún necesita actualizar su kernel, incluso si su proveedor de nube ha actualizado el hipervisor subyacente .
El anuncio del cliente de GCE (vinculado desde la publicación en el blog de seguridad de Google , que es un poco claro en los detalles, pero también contiene enlaces a el informe sobre el proyecto cero que está completo) dice en "Estado de mitigación":
Infraestructura parcheada contra ataques conocidos. Los clientes deben parchear / actualizar el entorno invitado.
Si no confía en Google, AWS tiene su propio boletín de seguridad que declara:
Mientras que las actualizaciones que realiza AWS protegen la infraestructura subyacente, para estar completamente protegidos contra estos problemas, los clientes también deben parchear sus sistemas operativos de instancia. Las actualizaciones para Amazon Linux se han puesto a disposición, y las instrucciones para actualizar las instancias existentes se proporcionan a continuación junto con cualquier otra guía relacionada con AWS relevante para este boletín.
La razón por la que esto es necesario es porque la paravirtualización permite que el kernel invitado tenga control sobre el TLB en la CPU directamente, sin la mediación del hipervisor (es una de las mejoras de rendimiento más importantes de paravirt sobre la virtud completa, junto con I directa / O). Por lo tanto, si el kernel del sistema operativo invitado no implementa las mitigaciones, los procesos que se ejecutan en la VM aún pueden capturar datos del kernel y otros procesos que se ejecutan en el mismo invitado.
La respuesta a la segunda pregunta que ha editado para agregar su pregunta, en cuanto a si está en riesgo de sus vecinos, parece ser que, con la información actualmente disponible, "no" . La respuesta a la tercera pregunta, aparentemente implícita, de si debe parchear ahora o en su ciclo regular de parches, no responde con la información que proporcionó, ya que está profundamente arraigada en el perfil de riesgo y los modelos de amenazas de su propia organización. y me atrevería a decir que estás al borde de "principalmente basado en la opinión" con ese.