現在位置: ホーム / セキュリティアップデート情報 / CPU の脆弱性 Meltdown ならびに Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754) の影響と対処

CPU の脆弱性 Meltdown ならびに Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754) の影響と対処

[本ドキュメントの対象となる製品]

  • Asianux Server 4 == MIRACLE LINUX V6 for x86 (32bit)
  • Asianux Server 4 == MIRACLE LINUX V6 for x86_64 (64bit)
  • Asianux Server 7 == MIRACLE LINUX V7 for x86_64 (64bit)

[概要]

CPU のハードウェア由来の脆弱性 (Meltdown and Spectre Vulnerability) が公開されました。脆弱性対策が施されていないシステムでは、攻撃者によりカーネル、もしくは任意のアプリケーションに割り当てられたメモリの内容が読み取られる可能性があります。

[詳細]

以下の脆弱性情報が発表されました。

  • CVE-2017-5753 (Variant 1, Spectre)
  • CVE-2017-5715 (Variant 2, Spectre)
  • CVE-2017-5754 (Variant 3, Meltdown)

投機的実行と間接分岐予測を使用するマイクロプロセッサを搭載したシステムには、ローカルユーザにより、サイドチャネル攻撃を介して権限のない情報を得る可能性のある脆弱性があります。

カーネル、マイクロコード(注1)ならびに関連するパッケージの更新により、影響を低減ないし回避することができます。
注1: お使いのハードウェアベンダーから最新のマイクロコードを含むファームウェアが提供されている場合があります。併せてご確認ください。

[影響するパッケージ]

2018 年 1 月 10 日以前に公開された、全ての kernel に影響します。また、kernel 以外にも影響を受けるパッケージが存在します。影響を受けるパッケージについては、随時公開します。

[対処方法]

パッケージをアップデートしてください。

以下、2018 年 1 月 26 日現在の公開状況です。

[Asianux Server 7]

[Asianux Server 4]

注2:  microcode_ctl パッケージ、ならびに linux-firmware パッケージには Intel 社から提供されたマイクロコードが含まれております。
Intel 社から公開されている情報によると、当初公開した Asianux Server 4 向け microcode_ctl-1.17-25.2.AXS4、ならびに Asianux Server 7 向け microcode_ctl-2.1-22.2.el7, linux-firmware-20170606-57.gitc990aae.el7 には、一部の環境において不具合が発生することが報告されています。


microcode_ctl パッケージをアップデートする際には以下の情報を参考に、お客様環境において充分に検証の上適用をお願いします。(2018/01/18追記)

https://newsroom.intel.com/news/intel-security-issue-update-addressing-reboot-issues/

今回リリースした Asianux Server 4 向け microcode_ctl-1.17-25.4.AXS4、ならびに Asianux Server 7 向け  microcode_ctl-2.1-22.5.el7, linux-firmware-20170606-58.gitc990aae.el7 パッケージは、不具合が入る以前のマイクロコードに差戻す内容になっています。(2018/01/22 追記)

新たな情報が入り次第、随時更新いたします。

[参考URL]

Meltdown and Spectre
https://meltdownattack.com/

Project Zero
https://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html

MITRE CVE DB
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754

[注意事項]

本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等を元にした参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
パッケージの更新により、パフォーマンスに影響を生じる可能性があります。業務への影響についてはお客様で検証いただきますようお願いします。

[更新履歴]

2018 年 1 月 10 日 新規作成
2018 年 1 月 18 日 microcode_ctl に関する情報を更新
2018 年 1 月 22 日 microcode_ctl, linux-firmware に関する情報を更新
2018 年 1 月 26 日 firefox に関する情報を更新