「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について
トピックスに記載された製品・サービス内容、各リンク情報は、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。
更新日:2018年3月11日
富士通株式会社
平素より、富士通製品をご愛顧いただきまして、誠にありがとうございます。
投機的実行機能を持つ CPU に対してサイドチャネル攻撃を行う手法が複数の研究者によって報告されています (JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)。
その他の機種につきましては、富士通公開ホームページ(脆弱性情報) をご参照願います。
投機的実行機能(speculative execution):CPUの高速化手法の1つ。
分岐命令の先のプログラムを予測して実行する機能。現在使われている一般的なCPUにはほぼ搭載されている。
脆弱性の概要
今回の脆弱性は、悪意あるプログラムが攻撃対象のサーバ上で実行された場合に、従来保護されていたメモリに格納されているデータ()が参照可能となるものです。
- データの改ざんの可能性はありません。
- 攻撃者が外部ネットワーク(インターネット等)からリモートアクセスをするだけではメモリデータを参照する事はできません。
OSのカーネル領域のメモリ、各プロセスのメモリや各仮想マシンのメモリのデータ
対象機種
FUJITSU Integrated System Cloud Ready Blocks / FUJITSU Integrated System PRIMEFLEX for Cloud のすべてのモデルに対象サーバが搭載されています。
各モデルに搭載されたサーバ機種/OSについては、以下を参照してください。
各モデルの搭載サーバ/OS一覧 (46 KB)[2018年1月]
対処方法
BIOS、オペレーティングシステム及び下記に公開されている修正について、すべて適用が必要です。各モデルにおいて使用されているサーバ、使用されているOSは各モデルの搭載サーバ機種/OS一覧を確認してください。
BIOSのアップデート
BIOSのアップデート版数情報は随時更新します。詳細は各モデルの搭載サーバ機種/OS一覧の使用されているサーバの列をご確認の上、PRIMERGY対象機種/ソフト一覧をご確認ください。
- PRIMERGY ダウンロード検索ページで、製品名、型名を選択し、カテゴリから“ファームウェア”を選択し、検索結果を表示します。
- 該当するBIOS書換データをダウンロードします。
- ダウンロードしたデータを解凍し、Readme.txt をよく読みアップデートします。
オペレーティングシステムの修正適用
各種オペレーティングシステムの修正情報につきましては、下記のページよりご確認ください。
各モデルにおいて使用されているOSについては各モデルの搭載サーバ機種/OS一覧をご確認ください。
- Windows製品
本問題に対するWindows Server 2008 R2, 2012 R2, 2016に関するセキュリティアップデートがマイクロソフト社より公開されています。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
(* 上記URLの閲覧には利用規約への同意が必要です。)本セキュリティアップデートを有効とするためには対応するサーバのファームウェア(マイクロコード)アップデートの適用が必要です。また、ホストOSならびにゲストOSに適用する必要があります。
本セキュリティモジュールを適用するためには、セキュリティ対策ソフトウェア(アンチウイルスソフト)が予め対応している必要があります。必ず、各ベンダの対応を待ってから適用ください。
各ベンダの対応状況はウイルス対策製品を参照ください。
セキュリティアップデートが提供されないWindows Server OSの対応に関しては、現在マイクロソフト社へ確認しております。SQL Serverについて
Microsoft社からセキュリティ修正に関する情報が出ていますので、OSのセキュリティ修正と併せて対処してください。
【SQL Server 向けガイダンス】
https://support.microsoft.com/en-us/help/4073225 (英語版)
https://support.microsoft.com/ja-jp/help/4073225 (日本語訳) - VMware製品
本問題に対する VMware 製品に関した情報については、ヴイエムウェア社から公開されています。
vSphere ESXi 6.5、6.0、5.5 およびVMware Workstation 12.x については、セキュリティアップデートがヴイエムウェア社より公開されています。
VMware Security Advisories: MSA-2018-0002提供される修正モジュールには、本セキュリティ脆弱性に対応するモジュール以外のセキュリティ修正や障害修正が含みます。業務システムの適用に際しては、予め検証環境等での評価をお願いいたします。
ゲストOS(Windows、Linux)の対処は、各種オペレーティングシステムの修正情報をご確認ください。
VMware仮想アプライアンスに関するアップデート情報については、以下のヴイエムウェア社 Knowledge Baseをご確認ください。
ヴイエムウェア社 Knowledge Base: 52264
VMware Virtual Appliances and CVE-2017-5753, CVE-2017-5715 (Spectre), CVE-2017-5754 (Meltdown) (52264)
アップデートによる影響について
今回のアップデートを適用することで、お客様の運用環境によっては性能への影響が発生する可能性があります。適用に当たってはご利用環境での事前確認を実施願います。
性能への影響については、CPUメーカー(Intel社)、OS提供元(マイクロソフト社、RedHat社)から提供されているパフォーマンスに関する調査結果を参考としてください。
- [Intel社] Side Channel Attacks - Vulnerability Analysis, News, and Updates
- [マイクロソフト社]Windows システム上の Spectre および Meltdown に対する緩和策のパフォーマンスへの影響について
- [RedHat社]投機的実行の脆弱性によるパフォーマンスへの影響: CVE-2017-5754、CVE-2017-5753、および CVE-2017-5715 に対するセキュリティーパッチによるパフォーマンスへの影響
脆弱性に関する詳細
詳細については以下のページをご覧ください。
- Intel Analysis of SpeculativeExecution Side Channels(英語)
- Intel Analysis of Speculative Execution Side Channels White Paper
- JVN: JVNVU#93823979 投機的実行機能を持つ CPU に対するサイドチャネル攻撃
- US-CERT: VU#584653:CPU hardware vulnerable to side-channel attacks
- CVE: CVE-2017-5715
- CVE: CVE-2017-5753
- CVE: CVE-2017-5754
本内容は予告なく変更される場合があります。あらかじめご了承ください。
お問い合わせ窓口(専用窓口)
BIOS/ファームウェアのアップデートに関するお問い合わせは、以下の窓口までお問い合わせください。
本脆弱性の対象機種、および対処方法につきましては、当ページでご紹介しております。お問い合わせの前にご確認をお願いします。
- SupportDeskご契約のお客様
ご契約のお客様専用の電話でお問い合わせを受け付けております。
SupprtDesk受付窓口は「ご利用の手引き」のご利用方法に記載された電話番号をご確認ください。
窓口の連絡先がご不明な場合は、当社営業/販売会社までご連絡ください。