JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)

「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」について

平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。

投機的実行機能を持つ CPU に対してサイドチャネル攻撃を行う手法が複数の研究者によって報告されています。
今回の脆弱性は、悪意あるプログラムが攻撃対象の機器上（サーバ、パソコンなど）で実行された場合に、従来保護されていたメモリに格納されているデータ※が参照可能となるものです。

• データの改ざんの可能性はありません。
• 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の機器上（サーバ、パソコンなど）で実行することが必要になりますので、外部ネットワーク（インターネット等）からリモートアクセスをするだけではメモリデータを参照する行為はできません。
• NISTによる各CVEのCVSS v3 基本評価基準は、2018年1月10日時点で以下の通りです。
  • CVE-2017-5715: 5.6 中程度
  • CVE-2017-5753: 5.6 中程度
  • CVE-2017-5754: 5.6 中程度

製品情報

掲記脆弱性に関しまして、以下のとおり、当社製品情報をご案内いたします。その他の製品についても随時公開します。

• PC
  • 「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」に関するお知らせをご確認ください。
• PCサーバ
  • PRIMERGY：「投機的実行機能を持つCPUに対するサイドチャネル攻撃」についてをご確認ください。
  • PRIMEQUEST：「投機的実行機能を持つCPUに対するサイドチャネル攻撃」についてをご確認ください。
• UNIXサーバ / FUJITSU Cloud Service for SPARC
  • 「投機的実行機能を持つCPUに対するサイドチャネル攻撃」についてをご確認ください。
• メインフレーム
  • GS21シリーズ(MSP/XSP/AVM)、およびGS周辺装置は、本脆弱性による影響を受けないため、対処は不要です。
• ストレージ
  • 「投機的実行機能を持つCPUに対するサイドチャネル攻撃」についてをご確認ください。
• 垂直統合製品
  
  • PRIMEFLEX for VMware vSphere / PRIMEFLEX for VMware vSAN / PRIMEFLEX for Microsoft Storage Spaces Direct / PRIMEFLEX HS
    「投機的実行機能を持つCPUに対するサイドチャネル攻撃」についてをご確認ください。
  • Cloud Ready Blocks / PRIMEFLEX for Cloud
    「投機的実行機能を持つCPUに対するサイドチャネル攻撃」についてをご確認ください。
  • PRIMEFLEX for Oracle Database
    「投機的実行機能を持つCPUに対するサイドチャネル攻撃」についてをご確認ください。
• オフコン
  • オフコンにおける「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」についてをご確認ください。
• ネットワーク製品
  • 投機的実行機能を持つCPUに対するサイドチャネル攻撃についてをご確認ください。
    
• プリンタ
  • PS5000シリーズ、VPシリーズ、XLシリーズ、FMPRシリーズについては、本脆弱性による影響を受けないため、対処は不要です。

デジタルサービスインフラ情報

掲記脆弱性に関しまして、以下のとおり、当社デジタルサービスインフラ情報をご案内いたします。

• 富士通デジタルサービスインフラにおける「投機的実行機能を持つCPUに対するサイドチャネル攻撃」についてをご確認ください。

問い合わせ先

• 修正などに関しては、ご契約のサービスサポート窓口までお問い合わせください。

参考情報

• 富士通:コラム・セキュリティ記事 > CPUの脆弱性「Spectre（スペクター）」と「Meltdown（メルトダウン）」
• JVN:JVNVU#93823979:投機的実行機能を持つ CPU に対するサイドチャネル攻撃
• US-CERT:VU#584653:CPU hardware vulnerable to side-channel attacks
• CVE:CVE-2017-5715
• CVE:CVE-2017-5753
• CVE:CVE-2017-5754

更新履歴

• 2018年7月25日
  • 参考情報に富士通のコラム・セキュリティ記事を追加
    
• 2018年4月18日
  • UNIXサーバ / FUJITSU Cloud Service for SPARC情報を製品情報ページへのリンクに変更
  • 垂直統合製品にPRIMEFLEX for Oracle Database情報を追加
• 2018年1月31日
  • ネットワーク製品情報を追加
    
• 2018年1月30日
  • 垂直統合商品情報を追加
    
• 2018年1月18日：
  • UNIXサーバ情報を追加
• 2018年1月16日：
  • プリンタ情報を追加
• 2018年1月12日：
  • デジタルサービスインフラ情報を追加
  • ストレージ情報を製品情報ページへのリンクに変更
  • 脆弱性説明内容を一部更新
• 2018年1月11日：
  • メインフレーム情報を追加
  • 各CVEに関するCVSS v3 基本評価基準を追加
• 2018年1月10日：
  • オフコン情報を追加
  • ETERNUS LTシリーズ情報を追加
    
• 2018年1月9日：
  • PRIMEQUEST情報を追加
  • 製品情報初版公開
• 2018年1月5日：新規掲載