現在位置: ホーム / セキュリティブログ / CPU由来の脆弱性情報(Meltdown and Spectre Vulnerability : CVE-2017-5753, CVE-2017-5754, CVE-2017-5755)

CPU由来の脆弱性情報(Meltdown and Spectre Vulnerability : CVE-2017-5753, CVE-2017-5754, CVE-2017-5755)

01/03/2018にIntel/AMD/ARMを含むCPUのHW由来の脆弱性(Meltdown and Spectre Vulnerability)が公開されました。それに伴い、Linux Kernel等にも脆弱性情報の公開と修正情報(CVE-2017-5753, CVE-2017-5754, CVE-2017-5755)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

情報が未だ錯綜していますので、逐次情報は更新していく予定です。

一次情報源

Meltdown (CVE-2017-5754)

Spectre (CVE-2017-5753 / CVE-2017-5755)

HWメーカ情報

Intel: Intel Responds to Security Research Findings

AMD: オフィシャルな情報は未だ出ていません。

ARM: Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism

NVIDIA: NVIDIA's response to speculative side channels CVE-2017-5753, CVE-2017-5715, and CVE-2017-5754

OS・ディストリビューション提供情報

Kernel Side-Channel Attacks - CVE-2017-5754 CVE-2017-5753 CVE-2017-5715

Azure: Azure advisory

Priority

Important

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754

Kernelの割り当てたメモリの読み取りの可能性(Meltdown)
重要度 - Important
HW由来の脆弱性により、サイドチャネルを通じてアプリケーションが、他の任意のアプリケーションが割り当てたメモリに対して読み込みのアクセスが出来る可能性があります。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5755

任意のアプリケーションのメモリの読み取りの可能性(Spectre)
重要度 - Important
HW由来の脆弱性により、サイドチャネルを通じてアプリケーションが、他の任意のアプリケーションが割り当てたメモリに対して読み込みのアクセスが出来る可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を参考にして下さい。

また、OSの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

Meltdown (CVE-2017-5754)

Spectre (CVE-2017-5753 / CVE-2017-5755)

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。

OSSに関するお困りごとはサイオス OSSよろず相談室まで

サイオスOSSよろず相談室では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

関連コンテンツ: Linux Kernelの脆弱性(CVE-2017-18017)

タグ: 脆弱性情報

OSSよろず相談室

セキュリティ分野別一覧

最新の記事: CPU由来の脆弱性情報(Meltdown and Spectre Vulnerability : CVE-2017-5753, CVE-2017-5754, CVE-2017-5755) 2018年01月04日; Linux Kernelの脆弱性(CVE-2017-18017) 2018年01月04日; 週末(12/23,12/24)の更新情報と、先週(12/18-12/22)の更新情報一覧 2017年12月25日; Linux KernelにeBPF周りの複数の脆弱性(CVE-2017-17862, CVE-2017-17863, CVE-2017-17864) 2017年12月24日; Linux KernelにeBPF周りの複数の脆弱性 (CVE-2017-16995, CVE-2017-16996, CVE-2017-17852, CVE-2017-17853, CVE-2017-17854, CVE-2017-17855, CVE-2017-17856, CVE-2017-17857) 2017年12月23日; Linux KernelにKEYS周りの複数の脆弱性(CVE-2017-17805, CVE-2017-17806, CVE-2017-17807) 2017年12月21日; ruby gem Net::LDAPの脆弱性 (CVE-2017-17718) 2017年12月19日; glibcの脆弱性(CVE-2017-16997) 2017年12月18日; Linux Kernelの脆弱性(CVE-2017-17741) 2017年12月18日; OpenLDAPの脆弱性(CVE-2017-17740) 2017年12月18日; 週末(12/16,12/17)の更新情報と、先週(12/11-12/15)の更新情報一覧 2017年12月18日; Xenの複数の脆弱性 ( XSA-236/237/238/239/240/241/242/243/244/245/246/247) 2017年12月17日; Pythonの脆弱性(CVE-2017-17522) 2017年12月17日; rubyのNet::FTPでのコマンドインジェクション(CVE-2017-17405) 2017年12月17日; Linux Kernelの脆弱性(CVE-2017-17712) 2017年12月17日; ROBOT ( Return Of Bleichenbacher's Oracle Threat ) 攻撃 (翻訳情報) 2017年12月13日; Linux Kernelの脆弱性(CVE-2017-17558) 2017年12月13日; glibcの複数の脆弱性(CVE-2017-1000408 , CVE-2017-1000409 ) 2017年12月12日; PowerDNSの脆弱性(CVE-2017-15120) 2017年12月12日; rsyncの複数の脆弱性(CVE-2017-17433, CVE-2017-17434) 2017年12月08日; 最新の記事 - もっと...