CPU の脆弱性 Meltdown ならびに Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754, CVE-2018-3639) の影響と対処

[本ドキュメントの対象となる製品]

• Asianux Server 4 == MIRACLE LINUX V6 for x86 (32bit)
• Asianux Server 4 == MIRACLE LINUX V6 for x86_64 (64bit)
• Asianux Server 7 == MIRACLE LINUX V7 for x86_64 (64bit)

[概要]

CPU のハードウェア由来の脆弱性 (Meltdown and Spectre Vulnerability) が公開されました。脆弱性対策が施されていないシステムでは、攻撃者によりカーネル、もしくは任意のアプリケーションに割り当てられたメモリの内容が読み取られる可能性があります。

[詳細]

以下の脆弱性情報が発表されました。

• CVE-2017-5753 (Variant 1, Spectre)
• CVE-2017-5715 (Variant 2, Spectre)
• CVE-2017-5754 (Variant 3, Meltdown)
• CVE-2018-3639 (Variant 4, SpectreNG)
  
  

投機的実行と間接分岐予測を使用するマイクロプロセッサを搭載したシステムには、ローカルユーザにより、サイドチャネル攻撃を介して権限のない情報を得る可能性のある脆弱性があります。

カーネル、マイクロコード(注1)ならびに関連するパッケージの更新により、影響を低減ないし回避することができます。
注1: お使いのハードウェアベンダーから最新のマイクロコードを含むファームウェアが提供されている場合があります。併せてご確認ください。

[影響するパッケージ]

2018 年 1 月 10 日以前に公開された、全ての kernel に影響します。また、kernel 以外にも影響を受けるパッケージが存在します。影響を受けるパッケージについては、随時公開します。

[対処方法]

パッケージをアップデートしてください。

以下、2018 年 9 月 14 日現在の公開状況です。

[Asianux Server 7]

• kernel
• http://tsn.miraclelinux.com/ja/node/9719

• linux-firmware 
• http://tsn.miraclelinux.com/ja/node/9583
• microcode_ctl
  
• http://tsn.miraclelinux.com/ja/node/9767
• libvirt
• http://tsn.miraclelinux.com/ja/node/9751
• qemu-kvm
• http://tsn.miraclelinux.com/ja/node/9735
• firefox
• http://tsn.miraclelinux.com/ja/node/9705
• gcc
• http://tsn.miraclelinux.com/ja/node/9517
• java
• http://tsn.miraclelinux.com/ja/node/9720 [Java-1.7.0 系]
• http://tsn.miraclelinux.com/ja/node/9708 [Java-1.8.0 系]
  
  

[Asianux Server 4]

• kernel
• http://tsn.miraclelinux.com/ja/node/9709
• microcode_ctl
  
• http://tsn.miraclelinux.com/ja/node/9766
• libvirt
• http://tsn.miraclelinux.com/ja/node/9672
• qemu-kvm
• http://tsn.miraclelinux.com/ja/node/9693
• firefox
• http://tsn.miraclelinux.com/ja/node/9554
• gcc
• http://tsn.miraclelinux.com/ja/node/9631
• java
• http://tsn.miraclelinux.com/ja/node/9713 [Java-1.7.0 系]
• http://tsn.miraclelinux.com/ja/node/9710 [Java-1.8.0 系]
  
  

新たな情報が入り次第、随時更新いたします。

[参考URL]

Meltdown and Spectre
http://meltdownattack.com/

Project Zero
http://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html

MITRE CVE DB
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639

[注意事項]

本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等を元にした参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
パッケージの更新により、パフォーマンスに影響を生じる可能性があります。業務への影響についてはお客様で検証いただきますようお願いします。

[更新履歴]

2018 年 1 月 10 日 新規作成
2018 年 1 月 18 日 microcode_ctl に関する情報を更新
2018 年 1 月 22 日 microcode_ctl, linux-firmware に関する情報を更新
2018 年 1 月 26 日 firefox に関する情報を更新
2018 年 5 月 24 日 CVE-2018-3639 に関する情報を更新
2018 年 5 月 25 日 パッケージに関する情報を更新
2018 年 6 月  4 日 microcode_ctl, linux-firmware に関する情報を更新
2018 年 6 月 19 日 対処方法に関する情報を更新
2018 年 7 月  4 日 パッケージに関する情報を更新
2018 年 7 月 17 日 パッケージに関する情報を更新
2018 年 7 月 31 日 パッケージに関する情報を更新
2018 年 8 月  7 日 パッケージに関する情報を更新
2018 年 9 月 14 日 パッケージに関する情報を更新