「投機的実行機能を持つCPUに対するサイドチャネル攻撃(CVE-2018-3639、CVE-2018-3640)」について
02版:2019年2月25日
富士通株式会社
平素より、ETERNUS製品をご愛顧いただきまして、誠にありがとうございます。
2018年1月に公開されました投機的実行機能を持つ CPU に対する サイドチャネル攻撃「CVE-2017-5715、CVE-2017-5753、CVE-2017-5754」の派生型が、新たに報告されています。
以下の対処方法をご覧いただき、ご対応くださいますようお願いいたします。
その他の当社製品につきましては、富士通公開ホームページ(脆弱性情報)
をご参照願います。
(注)投機的実行機能(speculative execution):CPUの高速化手法の1つ。
分岐命令の先のプログラムを予測して実行する機能。現在使われている一般的なCPUにはほぼ搭載されている
脆弱性の概要
今回の脆弱性は、悪意あるプログラムが攻撃対象の機器上で実行された場合に、従来保護されていたメモリに格納されているデータ(注1)やレジスタ(注2)が参照可能となるものです。
- データの改ざんの可能性はありません。
- 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の装置上で実行することが必要になりますので、外部ネットワーク(インターネット等)からリモートアクセスをするだけではメモリデータを参照する行為はできません。
(注1) OSのカーネル領域のメモリ、各プロセスのメモリや各仮想マシンのメモリのデータ
(注2) CPUの状態を表示する記憶域
ETERNUS製品 影響状況
ETERNUS製品の掲記脆弱性の影響に関して以下の通り状況報告させて頂きます。
| 製品名 | 状況 | 対処方法 | |
|---|---|---|---|
| オールフラッシュアレイ | ETERNUS AF series | 影響なし | 任意の外部プログラムを実行できないため、影響はありません。 |
| ETERNUS TR series | 影響なし | ||
| ETERNUS NR1000A series | 影響なし | ||
| ハイブリッドストレージシステム | ETERNUS DX series | 影響なし | 任意の外部プログラムを実行できないため、影響はありません。 |
| ETERNUS TR800 series | 影響なし | ||
| ETERNUS NR1000F series | 影響なし | ||
| ハイパースケールストレージ | ETERNUS CD10000 | 影響なし | 任意の外部プログラムを実行できないため、影響はありません。 |
| テープシステム | ETERNUS LT series | 影響なし | 任意の外部プログラムを実行できないため、影響はありません。 |
| 重複排除技術搭載ストレージ | ETERNUS CS800 | 影響なし | 任意の外部プログラムを実行できないため、影響はありません。 |
| ETERNUS BE50 | 影響あり | ハードウェアは、PRIMERGY TX140 S1pをベースとした製品です。OSはWindows Storage Server 2008 R2をベースとした製品です。
下記のページを参照して対処してください。 http://jp.fujitsu.com/platform/server/primergy/note/page33.html PRIMERGY TX140 S1pおよびWindows Server 2008 R2を参照 |
|
| ETERNUS BE50 S2 | 影響あり | ハードウェアは、PRIMERGY RX1330 M1をベースとした製品です。OSはWindows Storage Server 2012 R2をベースとした製品です。
下記のページを参照して対処してください。 http://jp.fujitsu.com/platform/server/primergy/note/page33.html PRIMERGY RX1330 M1およびWindows Server 2012 R2を参照 |
|
| バーチャルテープ | ETERNUS CS | 影響なし | 任意の外部プログラムを実行できないため、影響はありません。 |
| ETERNUS VT600 | 影響なし | ||
| 光ディスクライブラリ | ETERNUS DA700 | 影響なし | 任意の外部プログラムを実行できないため、影響はありません。 |
| ネットワークストレージ | ETERNUS CS2000NS | 影響なし | 任意の外部プログラムを実行できないため、影響はありません。 |
| スイッチ | ETERNUS SN200 series | 影響なし | 任意の外部プログラムを実行できないため、影響はありません。 |
| ETERNUS FCLINK Switch | 影響なし | ||
| Brocade series | 影響なし | ||
| Brocade VDX series | 確認中 | ||
脆弱性に関する詳細
詳細については以下のページをご覧ください。
- CVE:CVE-2018-3639(英語)(Common Vulnerabilities and Exposures)
- CVE:CVE-2018-3640(英語)(Common Vulnerabilities and Exposures)
- JVNVU#97971879 投機的実行機能を持つ CPU に対するキャッシュサイドチャネル攻撃(Japan Vulnerability Notes)
- Q2 2018 Speculative Execution Side Channel Update(英語)(Intel Corporation)
- ADV180012 | Microsoft Guidance for Speculative Store Bypass(マイクロソフト社)
- ADV180013 | Microsoft Guidance for Rogue System Register Read (マイクロソフト社)
- Analysis and mitigation of speculative store bypass (CVE-2018-3639) (英語)(Microsoft Corporation)
本内容は予告なく変更される場合があります。あらかじめご了承ください。
ご参考
- 「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について(2018年4月)
お問い合わせ窓口
本修正などに関しては、ご契約のサポート&サービス窓口までお問い合わせください。
お問い合わせはこちら
当社はセキュリティ保護の観点からSSL技術を使用しております。
受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)
