CPUの脆弱性 Foreshadow ( L1TF - L1 Terminal Fault Attack - CVE-2018-3620, CVE-2018-3646) の影響と対処
[本ドキュメントの対象となる製品]
Asianux Server 4 == MIRACLE LINUX V6 for x86 (32bit)
Asianux Server 4 == MIRACLE LINUX V6 for x86_64 (64bit)
Asianux Server 7 == MIRACLE LINUX V7 for x86_64 (64bit)
[概要]
CPU のハードウェア由来の脆弱性 (Foreshadow Vulnerability, L1 Terminal Fault Attack,L1TFなどの別名のある脆弱性) が公開されました。脆弱性対策が施されていないシステムでは攻撃者によりカーネル、もしくは任意のアプリケーションに割り当てられたメモリの内容が読み取られる可能性があります。
[詳細]
以下の脆弱性情報が発表されました。
- CVE-2018-3620 (L1 Terminal Fault: OS/SMM)
- CVE-2018-3646 (L1 Terminal Fault: VMM)
投機的実行とアドレス変換を使用するマイクロプロセッサを搭載したシステムには、ローカルユーザにより、サイドチャネル攻撃を介して、権限のない情報を得る可能性のある脆弱性があります。
カーネル、マイクロコード(注1)ならびに関連するパッケージの更新により、影響を低減ないし回避することができます。
注1: お使いのハードウェアベンダーから最新のマイクロコードを含むファームウェアが提供されている場合があります。併せてご確認ください。
[影響するパッケージ]
- kernel
- microcode_ctl
新たな情報が入り次第、随時更新いたします。
[対処方法]
パッケージをアップデートしてください。
以下、2019 年 2 月 27 日現在の公開状況です。
[Asianux Server 7]
- microcode_ctl
- kernel
[Asianux Server 4]
- microcode_ctl
- kernel(注2)
注2: AXS4 カーネルの制限事項
UEFI 環境、かつ特定の世代の CPU (Ivybridge 世代の一部)を搭載した機器においては、CPU に存在するエラッタの影響により、今回の修正を含んだカーネルの起動に失敗する可能性があります。
カーネルをアップデート後、そのカーネルからの起動に失敗する場合には、カーネルパラメータに noclflush を指定することで起動可能です。
新たな情報が入り次第、随時更新いたします。
[参考URL]
Foreshadow
https://foreshadowattack.eu/
MITRE CVE DB
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3620
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3646
[注意事項]
本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等を元にした参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
パッケージの更新により、パフォーマンスに影響を生じる可能性があります。業務への影響についてはお客様で検証いただきますようお願いします。
[更新履歴]
2018 年 8 月 17 日 新規作成
2018 年 9 月 12 日 microcode_ctl に関する情報を更新
2019 年 2 月 27 日 kernel に関する情報を更新