JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)

「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」について

平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。

投機的実行機能を持つ CPU に対してサイドチャネル攻撃を行う手法が複数の研究者によって報告されています。
今回の脆弱性は、悪意あるプログラムが攻撃対象の機器上(サーバ、パソコンなど)で実行された場合に、従来保護されていたメモリに格納されているデータ※が参照可能となるものです。

  • データの改ざんの可能性はありません。
  • 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の機器上(サーバ、パソコンなど)で実行することが必要になりますので、外部ネットワーク(インターネット等)からリモートアクセスをするだけではメモリデータを参照する行為はできません。
  • NISTによる各CVEのCVSS v3 基本評価基準は、2018年1月10日時点で以下の通りです。
    • CVE-2017-5715: 5.6 中程度
    • CVE-2017-5753: 5.6 中程度
    • CVE-2017-5754: 5.6 中程度
※OSのカーネル領域のメモリ、各プロセスのメモリや各仮想マシンのメモリのデータ

製品情報

掲記脆弱性に関しまして、以下のとおり、当社製品情報をご案内いたします。その他の製品についても随時公開します。

デジタルサービスインフラ情報

掲記脆弱性に関しまして、以下のとおり、当社デジタルサービスインフラ情報をご案内いたします。

問い合わせ先

  • 修正などに関しては、ご契約のサービスサポート窓口までお問い合わせください。

参考情報

更新履歴

  • 2018年7月25日
    • 参考情報に富士通のコラム・セキュリティ記事を追加
  • 2018年4月18日
    • UNIXサーバ / FUJITSU Cloud Service for SPARC情報を製品情報ページへのリンクに変更
    • 垂直統合製品にPRIMEFLEX for Oracle Database情報を追加
  • 2018年1月31日
    • ネットワーク製品情報を追加
  • 2018年1月30日
    • 垂直統合商品情報を追加
  • 2018年1月18日:
    • UNIXサーバ情報を追加
  • 2018年1月16日:
    • プリンタ情報を追加
  • 2018年1月12日:
    • デジタルサービスインフラ情報を追加
    • ストレージ情報を製品情報ページへのリンクに変更
    • 脆弱性説明内容を一部更新
  • 2018年1月11日:
    • メインフレーム情報を追加
    • 各CVEに関するCVSS v3 基本評価基準を追加
  • 2018年1月10日:
    • オフコン情報を追加
    • ETERNUS LTシリーズ情報を追加
  • 2018年1月9日:
    • PRIMEQUEST情報を追加
    • 製品情報初版公開
  • 2018年1月5日:新規掲載

ページの先頭へ