「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について
第13版 2019年2月12日
富士通株式会社
平素より、富士通製品をご愛顧いただきまして、誠にありがとうございます。
投機的実行機能を持つ CPU に対してサイドチャネル攻撃を行う手法が複数の研究者によって報告されています (JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754) 。
以下の対処方法をご覧いただき、ご対応くださいますようお願いいたします。
その他の機種につきましては、富士通公開ホームページ(脆弱性情報) をご参照願います。
※ 投機的実行機能(speculative execution):CPUの高速化手法の1つ。
分岐命令の先のプログラムを予測して実行する機能。現在使われている一般的なCPUにはほぼ搭載されている。
脆弱性の概要
今回の脆弱性は、悪意あるプログラムが攻撃対象のサーバ上で実行された場合に、従来保護されていたメモリに格納されているデータ(※)が参照可能となるものです。
- データの改ざんの可能性はありません。
- 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の装置上で実行することが必要になりますので、 外部ネットワーク(インターネット等)からリモートアクセスをするだけではメモリデータを参照する行為はできません。
※ OSのカーネル領域のメモリ、各プロセスのメモリや各仮想マシンのメモリのデータ
対象機種
2010年以降に発売した以下のサーバが対象になります。
PRIMEQUEST対象機種 / ソフトウェア一覧 (295KB)[2018年3月26日更新]
対処方法
本体ファームウェア、オペレーティングシステム及び下記に公開されている修正について、すべて適用が必要です。
本体ファームウェアのアップデート
- PRIMEQUEST対象機種 / ソフトウェア一覧にて対象機種の本体ファームウェアの対策済バージョンをご確認ください。
- PRIMEQUESTダウンロードページで対象機種の本体ファームウェアダウンロードページを開きます。
PRIMEQUEST 3000シリーズ 本体ファームウェアのダウンロード
PRIMEQUEST 2000シリーズ 本体ファームウェアのダウンロード
PRIMEQUEST 1000シリーズ ファームウェアのダウンロード - 該当する本体ファームウェアをダウンロードします。
- ダウンロードしたzipファイルを展開します。
- 「はじめにお読みください」「ファームウェアアップデート手順書」をよく読みアップデートします。
オペレーティングシステムの修正適用
各種オペレーティングシステムの修正情報につきましては、下記のページよりご確認ください。
- Windows製品
本問題に対するWindows Server 2008 R2, 2012 R2, 2016に関するセキュリティアップデートがマイクロソフト社より公開されています。(注1)、(注2)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
(* 上記URLの閲覧には利用規約への同意が必要です。)本セキュリティアップデートを有効とするためには対応するサーバのファームウェア(マイクロコード)アップデートの適用が必要です。また、ホストOSならびにゲストOSに適用する必要があります。
(注1)本セキュリティアップデートを適用するためには、セキュリティ対策ソフトウェア(アンチウイルスソフト)が予め対応している必要があります。必ず、各ベンダの対応を待ってから適用ください。
各ベンダの対応状況はウイルス対策製品を参照ください。
(注2)セキュリティアップデートが提供されないWindows Server OSの対応に関しては、現在マイクロソフト社へ確認しております。
※ SQL Serverについて
Microsoft社からセキュリティ修正に関する情報が出ていますので、OSのセキュリティ修正と併せて対処してください。
【SQL Server 向けガイダンス】
https://support.microsoft.com/en-us/help/4073225(英語版)
https://support.microsoft.com/ja-jp/help/4073225 (日本語訳)
[重要]「スペクターおよびメルトダウンのサイドチャネルの脆弱性に対する攻撃からSQL Server を保護する」にてマイクロソフトが公開したSQL Serverパッチの適用について - Linux製品
<Red Hat社>
本問題に関するセキュリティアップデートがRed Hat社より公開されています。以下のサイトを確認し、ホストOSならびにゲストOSに適用ください。<SUSE社>
本問題に関するセキュリティ修正が、SUSE社より公開されています。以下のサイトを確認し、ホストOSならびにゲストOSに適用ください。 - VMware製品
本問題に対する VMware 製品に関した情報については、ヴイエムウェア社から公開されています。
ヴイエムウェア社 Knowledge Base: 52245
VMware Response to Speculative Execution security issues, CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 (aka Spectre and Meltdown) (52245)<VMware仮想化製品>
VMware vSphere ESXi 6.5、6.0、5.5、VMware vCenter Server 6.5、6.0、5.5 およびVMware Workstation 14.x、12.x については、セキュリティアップデートがヴイエムウェア社より公開されています。
VMware Security Advisories: MSA-2018-0002
VMware Security Advisories: MSA-2018-0004提供される修正モジュールには、本セキュリティ脆弱性に対応するモジュール以外のセキュリティ修正や障害修正が含みます。業務システムの適用に際しては、予め検証環境等での評価をお願いいたします。
ゲストOS(Windows、Linux)の対処は、各種オペレーティングシステムの修正情報をご確認ください。また、仮想マシンのバージョンを9以上にしてください。以下のヴイエムウェア社 Knowledge Baseをご確認ください。
ヴイエムウェア社 Knowledge Base: 1010675
Upgrading a virtual machine to the latest hardware version (multiple versions) (1010675)<VMware仮想アプライアンス製品>
VMware仮想アプライアンスに関する影響有無、対処策については、 以下のヴイエムウェア社 VMware Security Advisory および Knowledge Baseをご確認ください。
VMware Security Advisories: MSA-2018-0007
ヴイエムウェア社 Knowledge Base: 52264
VMware Virtual Appliances and CVE-2017-5753, CVE-2017-5715 (Spectre), CVE-2017-5754 (Meltdown) (52264) - Citrix製品
XenServerの場合、以下セキュリティアップデートが公開されています。
https://support.citrix.com/article/ctx231390XenDesktop/XenApp/XenMobile/Sharefile/Netscalerについては、本脆弱性の影響はありません。以下にCitrix社の情報が公開されています。
https://support.citrix.com/article/CTX231399 - OSIV/XSP動作機構
XSP-OSは本脆弱性による影響を受けないため、OSの修正はありません。
- ASP動作機構
ASP-OSは本脆弱性による影響を受けないため、OSの修正はありません。
アップデートによる影響について
今回のアップデートを適用することで、お客様の運用環境によっては性能への影響が発生する可能性があります。 適用に当たってはご利用環境での事前確認を実施願います。
性能への影響については、CPUメーカー(Intel社)、OS提供元(マイクロソフト社、RedHat社)から提供されている パフォーマンスに関する調査結果を参考としてください。
- [Intel社] Side Channel Attacks - Vulnerability Analysis, News, and Updates
- [マイクロソフト社] Windows システム上の Spectre および Meltdown に対する緩和策のパフォーマンスへの影響について
- [RedHat社] 投機的実行の脆弱性によるパフォーマンスへの影響: CVE-2017-5754、CVE-2017-5753、および CVE-2017-5715 に対するセキュリティーパッチによるパフォーマンスへの影響
脆弱性に関する詳細
詳細については以下のページをご覧ください。
- Intel Analysis of SpeculativeExecution Side Channels(英語)
- Intel Analysis of Speculative Execution Side Channels White Paper
- JVN: JVNVU#93823979 投機的実行機能を持つ CPU に対するサイドチャネル攻撃
- US-CERT: VU#584653:CPU hardware vulnerable to side-channel attacks
- CVE: CVE-2017-5715
- CVE: CVE-2017-5753
- CVE: CVE-2017-5754
※ 本内容は予告なく変更される場合があります。あらかじめご了承ください。
ウイルス対策製品
マイクロソフト社が配布するセキュリティアップデートを適用するためには、各社ウイルス対策製品が当該セキュリティアップデートに予め対応していることを各社公開サイトにて確認下さい。対応している場合のみ適用できます。対応しない製品の場合はブルースクリーンの発生やシステム停止の可能性がありますので、ベンダの対応を待ってください。
適用可能と確認ができてから、セキュリティアップデートを適用ください。セキュリティアップデート適用手段は手動またはWindows UpdateまたはWSUSのいずれかになります。Windows UpdateまたはWSUSで適用する場合は、各ウイルス対策ベンダが用意する自動レジストリキー追加モジュールを事前に実行する必要があります。
各社の最新対応状況と情報公開サイトは、以下を確認ください。
Trend Micro社
自動レジストリキー追加モジュールは現在準備中(順次公開予定)。
以下の、対象製品ではブルースクリーンが発生しないことを検証済みであり、手動でのレジストリキー追加により自動Windows Updateが可能。
- 対象製品
ウイルスバスターコーポレートエディション、ウイルスバスタービジネスセキュリティ、ウイルスバスタービジネスセキュリティサービス、ServerProtect for Microsoft Windows、ServerProtect for Storage、ServerProtect for Network Appliance Filers、Deep Security
※ 最新の対応製品及びバージョンは、下記公開サイトで確認ください。 - 公開サイト
Trend Micro社サイト
Symantec社
エンタープライズ製品向けの更新された ERASER エンジン(117.3.0.358以上)は、2018年1月4日 rev 1 (シーケンス番号: 189937) 以降のウイルス定義に含まれています。
全てのインストールパッケージが、コンテンツなしか、ERASER エンジン 117.3.0.358 以上が含まれるコンテンツを含んでいるかどうかを確認してください。
STOP エラーが発生するリスクを軽減するために、 Windows Update は、古いバージョンの消去 (ERASER) エンジンがインストールされているかどうかを検出し、更新を非表示にします。
Windows Update が適用された後に、古い ERASER エンジンの適用を防ぐことはできません。手動スキャンまたは定時スキャン、アクティブスキャンによる STOP エラーが再発しないように、この定義を適用後は、この定義よりも前の定義にロールバックしないでください。
- 対象製品
Symantec Endpoint Protection
※ 最新の対応製品及びバージョンは、下記公開サイトで確認ください。 - 公開サイト
Symantec社サイト
McAfee社
手動でのレジストリキー作成により自動Windows Updateが可能。
自動でのレジストリキー追加モジュールは現在準備中。
- 対象製品
Data Exchange Layer、Data Loss Prevention、Drive Encryption、ePolicy Orchestrator、Endpoint Security、File and Removable Media Protection、Host IPS、McAfee Active Response、McAfee Agent、McAfee Application Control、McAfee Active Response、McAfee Client Proxy、MOVE、Native Encryption、SiteAdvisor Enterprise、System Information Reporter、Threat Intelligence Exchange (TIE) Client for VSE、VirusScan Enterprise、VirusScan Enterprise for Storage
※ 最新の対応製品及びバージョンは、下記公開サイトで確認ください。 - 公開サイト
McAfee 社サイト
Kaspersky社
カスペルスキーはこの問題に対応する定義データベースを2017年12月28日にリリースしすでに対応済みです。
2017年12月28日以降の定義データベースがダウンロードされたカスペルスキー製品では、マイクロソフト社のセキュリティ更新プログラムが適用されます。
定義データベースのアップデートは初期設定で自動で実行される設定になっておりますので、追加操作の必要はございません。手動で定義データベースをアップデートするには、製品のメイン画面にある [ アップデート ] ボタンをクリックしてください。
- 対象製品
全製品 - 公開サイト
Kaspersky社サイト
Cylance社
初期テストで対象製品は、互換性の観点で影響がないことが確認されております(一部報道で懸念されているブルースクリーン事象等も確認されていません)。
自動のWindowsアップデートにより今回のパッチを適用する場合には、レジストリ設定の変更が必要になります(マニュアルでのパッチ適用の場合には必要ありません)。Cylanceでは、レジストリ設定変更のための方法および専用ツールを提供しています。
また、共存するウイルス対策ソフトウェアなどがある場合は、当該製品も本セキュリティモジュールが適用可能であることを事前に確認して下さい。
本セキュリティモジュールを適用する際はまずテスト環境で確認されることを推奨します。
自動でのレジストリキー追加モジュールはサポートKBから提供済です。
- 対象製品
CylancePROTECT、CylanceOPTICS
※ 最新の対応製品及びバージョンは、下記公開サイトで確認ください。 - 公開サイト
Cylance社サイト
お問い合わせ窓口
本修正などに関しては、ご契約のサポートサービス窓口までお問い合わせください。
更新履歴
- 2019年2月12日(13版):お問い合わせ窓口を変更
- 2018年3月26日(12版):PRIMEQUEST対象機種 / ソフトウェア一覧を更新
- 2018年3月20日(11版):SQL Serverについての情報を更新
- 2018年3月7日(10版):PRIMEQUEST対象機種 / ソフトウェア一覧を更新
- 2018年2月27日(9版):
- PRIMEQUEST対象機種 / ソフトウェア一覧を更新
- 「アップデートによる影響について」の情報を追加
- 2018年2月22日(8版):
- PRIMEQUEST対象機種 / ソフトウェア一覧を更新
- VMware製品の情報を更新
- 2018年1月30日(7版):PRIMEQUEST対象機種 / ソフトウェア一覧を更新
- 2018年1月19日(6版):PRIMEQUEST対象機種 / ソフトウェア一覧を更新
- 2018年1月18日(5版):PRIMEQUEST対象機種 / ソフトウェア一覧の公開を一時停止
- 2018年1月17日(4版):PRIMEQUEST対象機種 / ソフトウェア一覧を更新
- 2018年1月12日(3版):
- VMware製品の情報を更新
- Windows製品の修正適用についての更新
- 2018年1月11日(2版):
- OSIV/XSP動作機構の情報を追加
- ASP動作機構の情報を追加
- 2018年1月9日:新規掲載
PRIMEQUESTに関する資料請求・お見積もり・ご相談
この製品に関するお問い合わせは、富士通株式会社のフォームを使用し、2024年4月1日よりエフサステクノロジーズ株式会社が対応いたします。
お電話でのお問い合わせ
-
富士通コンタクトライン(総合窓口)
0120-933-200(通話無料)受付時間 9時~12時および13時~17時30分(土曜・日曜・祝日・当社指定の休業日を除く)
この製品に関するお問い合わせは、富士通株式会社のフォームを使用し、2024年4月1日よりエフサステクノロジーズ株式会社が対応いたします。