JVNVU#97646030(CVE-2018-3615、CVE-2018-3620、CVE-2018-3646)
「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」について
平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。
投機的実行機能を持つ CPU に対する サイドチャネル攻撃が、新たに報告されています。
本脆弱性への対処には、BIOSまたは本体ファームウェアのアップデートとオペレーティングシステムの修正適用が必要です。
富士通は、本脆弱性の影響を受ける保守対象製品について、順次情報等を提供いたします。
詳細は、下記「参考情報」に示す情報をご確認ください。
- Intel社による各CVEのCVSS v3 基本評価基準は、2018年11月1日時点で以下の通りです。
- CVE-2018-3615: 7.3 高程度
- CVE-2018-3620: 6.5 中程度
- CVE-2018-3646: 6.5 中程度
製品情報
掲記脆弱性に関しまして、以下のとおり、当社製品情報をご案内いたします。その他の製品についても随時公開します。
- PC
- PCサーバ(PRIMERGY/PRIMEQUEST)
- 対象機種およびBIOS修正:2018年5月に公開済みの「CVE-2018-3639/ CVE-2018-3640」と同じです。以下をご確認ください。
- OS修正情報:
- Microsoft社はCVE-2018-3620とCVE-2018-3646の脆弱性を緩和するためのセキュリティ更新プログラムを公開しています。 脆弱性に対する保護を受けるための手順等につきましては、下記Microsoft社の情報をご確認ください。
本脆弱性はセキュリティ更新プログラムに加えて、BIOS/本体ファームウェア の更新やBIOSの設定変更が必要な場合があります。
※CVE-2018-3615については、Windowsは該当しません。
- Microsoft社はCVE-2018-3620とCVE-2018-3646の脆弱性を緩和するためのセキュリティ更新プログラムを公開しています。 脆弱性に対する保護を受けるための手順等につきましては、下記Microsoft社の情報をご確認ください。
本脆弱性はセキュリティ更新プログラムに加えて、BIOS/本体ファームウェア の更新やBIOSの設定変更が必要な場合があります。
問い合わせ先
- 修正などに関しては、ご契約のサービスサポート窓口までお問い合わせください。
参考情報
- CVE:CVE-2018-3615
- CVE:CVE-2018-3620
- CVE:CVE-2018-3646
- JVN:JVNVU#97646030:Intel 製 CPU の投機的実行機能に対するサイドチャネル攻撃 (L1TF, L1 Terminal Fault)
- US-CERT:VU#982149:Intel processors are vulnerable to a speculative execution side-channel attack called L1 Terminal Fault (L1TF)
- Intel社:
- Microsoft社:
- ADV180018 | Microsoft Guidance to mitigate L1TF variant
(* 上記URLの閲覧には利用規約への同意が必要です。) - Windows Server guidance to protect against L1 terminal fault
- ADV180018 | Microsoft Guidance to mitigate L1TF variant
- Red Hat社:
- SUSE社:
- VMware社:
更新履歴
- 2018年11月1日:CVSS値を更新
- 2018年9月6日:当社PC情報を更新
- 2018年8月31日:当社PCとPCサーバのOS修正情報にMicrosoft社情報を追加
- 2018年8月23日:当社PCとPCサーバの対象機種およびBIOS修正情報を追加、参考情報のIntel社情報にリンクを追加
- 2018年8月20日:JVN、US-CERT、Red Hat社、SUSE社の参考情報を追加
- 2018年8月15日:新規掲載