投機的実行機能を持つCPUに対するサイドチャネル攻撃について
掲載日:2018年1月30日
2018年2月19日更新
2018年2月26日更新
1.概要
投機的実行機能を持つCPUに対してサイドチャネル攻撃を行う手法が複数の研究者によって報告されています。
富士通ネットワーク製品に関する本脆弱性の影響についてご報告致します。
今回の脆弱性は、悪意あるプログラムが攻撃対象の機器上(サーバ、パソコンなど)で実行された場合に、従来保護されていたメモリに格納されているデータ※が参照可能となるものです。
- データの改ざんの可能性はありません。
- 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の機器上(サーバ、パソコンなど)で実行することが必要になりますので、外部ネットワーク(インターネット等)からリモートアクセスをするだけではメモリデータを参照する行為はできません。
- NISTによる各CVEのCVSS v3 基本評価基準は、2018年1月10日時点で以下の通りです。
- CVE-2017-5715: 5.6 中程度
- CVE-2017-5753: 5.6 中程度
- CVE-2017-5754: 5.6 中程度
Cisco社製の製品について、今回の脆弱性に該当する製品の詳細は本書「2.該当製品」の表中「Cisco 社(英語)サイト」から最新情報をご確認下さい。
詳細は以下をご参照ください。
JVNVU#93823979:投機的実行機能を持つCPUに対するサイドチャネル攻撃
[IPA へリンク]
VU#584653:CPU hardware vulnerable to side-channel attacks(英文) [CERT/CC へリンク]
2.該当製品
2018年2月23日時点で、本脆弱性の影響を受ける製品は以下のとおりです。
富士通製品
| 製品カテゴリ | 影響有無 | 備考 |
|---|---|---|
| IPCOM | 一部有 | IPCOM VX2シリーズのみ影響有り(対象版数:~v1.1.1) |
| ルーター / スイッチ / 無線LAN | 無 | |
| SDN | 無 | |
| IPテレフォニー | 無 | |
| 統合コミュニケーション | 無 |
富士通取扱製品
| 製品カテゴリ | 影響有無 | 備考 |
|---|---|---|
| Aruba | 無 | |
| Palo Alto Networks | 無 | |
| iNetSec | 無 | |
| BIG-IP | 一部有 | F5 Networks社(英語)サイト
「K91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754」 より最新状況をご確認ください。 |
| FireEye | 一部有 | FireEye社(英語)サイト
「FireEye Notice for CVE-2017-5754, CVE-2017-5753, and CVE-2017-5715 (“Meltdown” and “Spectre” vulnerabilities)」 より最新状況をご確認ください。 |
| モバらくだ | 無 | |
| Cisco | 一部有 | Cisco社(英語)サイト
「CPU Side-Channel Information Disclosure Vulnerabilities」 より最新状況をご確認ください。 |
| Meru(現Fortinet) | 無 |
3.対処版数、時期
影響有の製品の対処方針につきましては、後報と致します。
以上
