[脆弱性の通知] Intel プロセッサの Meltdown と Spectre セキュリティ脆弱性

最終更新日: Jan 10, 2018

2018年01月03日、Intel プロセッサーの重大なセキュリティ上の脆弱性が発表されました。この脆弱性によって、アプリケーションが許可されていないカーネルデータにアクセスできるため、オペレーティングシステムのカーネル情報が読み取られる可能性があります。Alibaba Cloud では、この脆弱性が発表される前に Intel と情報共有し、対策を検討し始めております。尚、現時点で脆弱性に対する攻撃プログラムは検出されていません。

詳細は下記となります:


CVE 番号:

CVE-2017-5753

CVE-2017-5715

CVE-2017-5754

脆弱性名:

Intel プロセッサーの重大なセキュリティ上の脆弱性

深刻度:

危険

脆弱性説明:

コンピュータプロセッサチップの実装にはセキュリティ上の欠陥があるため、低特権のアプリケーションアクセスとカーネル高レベルアクセスを正しい判断で区別することはできません。これにより、攻撃者はメモリアクセスの安全な分離境界をバイパスし、オペレーティングシステムおよびその他のプログラムをカーネルから削除し、機密情報漏洩のリスクを引き起こします。

開示された攻撃の詳細と Alibaba Cloud 技術チームの分析によって、Intel プロセッサの脆弱性に、Meltdown と Spectre の 2 つの攻撃方法があります。Meltdown は CVE 番号 CVE-2017-5753 および CVE-2017-5715 に関連し、Spectre は CVE 番号 CVE-2017-5754 に関連します。

具体的な攻撃方法は次のとおりです:

影響範囲:

この脆弱性は Intel x86-64 ハードウェアに存在し、1995 年以降に製造された Intel プロセッサチップに影響を与える可能性があります。さらに、AMD、Qualcomm、ARM プロセッサも影響を受けます。

脆弱性リスク:

この脆弱性を利用する前提があります。現在公開された PoC テストでは、攻撃者はローカルの非特権アカウントを取得してから権限昇格操作を実行し、ローカルの機密情報が取得されます。

脆弱性対応方法:

  • クラウドプラットフォームの対応

Alibaba Cloud では、クラウドプラットフォームの脆弱性への対応を開始しました。対応作業は、2018年1月13日 午前1:00(日本時間)までに完了する予定です。この作業はホットアップグレードで行うため、通常はお客様への影響はございません。

Alibaba Cloud お知らせ-2018.01.05:https://jp.alibabacloud.com/notice/security-update-20180105

  • ゲストオペレーティングシステムの対応
  1. 脆弱性からセキュリティを守るために、ゲストオペレーティングシステム内に対応する最新の OS パッチを適用する必要があります。Alibaba Cloud は、主な OS ディストリビューションベンダーのパッチステータスを追跡し、OS 開発者から最新のパッチを入手すると公式 OS イメージを更新します。

最新のトラッキングステータス:

OS バージョン アーキテクチャ 影響 パッチ状態 イメージ更新状態 ソースイメージ更新状態 メーカーお知らせ パッチ適用方法
Microsoft Windows Server 2008 R2 i386/x64 はい リリース 未更新 未更新 Windows Server 2008 以外、パッチリリース済み
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s
  1. Windows Update を開いて、アップデータを確認し、該当パッチをインストールします。
  2. 完了後にサーバーを再起動し、システム状態を確認します。
パッチの手動ダウンロードも可能です。パッチ適用後に、再起動は必要です。
注意:パッチ適用する前のテストを推奨します。事前バックアップは必ず取得してください。
2012 R2 x64 はい リリース 未更新 未更新
2016 R2 x64 はい リリース 未更新 未更新
Version 1709 x64 はい リリース 未更新 未更新
Aliyun Linux 全バージョン x64 はい 未リリース 未更新 未更新 なし なし
CentOS 全バージョン x64 はい リリース 未更新 更新済み
  1. root アカウントで下記コマンドを実行します。yum update kernel
  2. 再起動します。
注意:パッチ適用する前のテストを推奨します。事前バックアップは必ず取得してください。
Ubuntu 全バージョン i386/x64 はい 未リリース 未更新 未更新
  1. root アカウントで下記コマンドを実行します。
    update list: apt-get update
    upgrade: apt-get upgrade
  2. 再起動します。
注意:パッチ適用する前のテストを推奨します。事前バックアップは必ず取得してください。
Debain 全バージョン i386/x64 はい 一部リリース 未更新 未更新
  1. root アカウントで下記コマンドを実行します。
    update list: apt-get update
    upgrade: apt-get upgrade
  2. 再起動します。
注意:パッチ適用する前のテストを推奨します。事前バックアップは必ず取得してください。
SUSE Linux Enterprise Server
  • 12.2
  • 11.4
x64 はい 一部リリース 未更新 更新済み
  1. root アカウントで下記コマンドを実行します。zypper refresh && zypper patch
  2. 再起動します。
  3. バージョンを確認します。
    • SUSE 11 SP4:
      kernel-default >= 3.0.101-108.21.1 microcode_ctl >= 1.17-102.83.6.1
    • SUSE 12 SP2:
      kernel-default >= 4.4.103-92.56.1 kernel-firmware >= 20170530-21.16.1ucode-intel >= 20170707-13.8.1
注意:パッチ適用する前のテストを推奨します。事前バックアップは必ず取得してください。
Open SUSE 全バージョン x64 はい 未リリース 未更新 未更新 https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html
CoreOS 全バージョン x64 はい リリース済み 未更新 更新済み https://coreos.com/blog/container-linux-meltdown-patch
  1. システムをアップグレードします。
  2. 再起動します。
  3. バージョンを確認します。
    • 安定版: 1576.5.0 以降
    • アルファ版: 1649.0.0 以降
    • ベータ版: 1632.1.0 以降
注意:パッチ適用する前のテストを推奨します。事前バックアップは必ず取得してください。
gentoo 全バージョン x64 はい 未リリース 未修复 未更新 https://archives.gentoo.org/gentoo-user/message/11050085e72a8a05aa84e10a89ce3498 なし
FreeBSD 全バージョン x64 はい 未リリース 未更新 未更新 なし なし

2.ほとんどの OS ディストリビューションベンダーがまだパッチを作成しているため、Alibaba Cloud はセキュリティ強化、および攻撃に対する保護に注意することを推奨します。

3.現在、Linux OS のパフォーマンスは、パッチ適用後に影響を受けます。ローカルの権限昇格後の場合のみ、この脆弱性を利用して機密データにアクセスできるため、パッチを適用するかどうはビジネスステータスに基づいて決定することを推奨します。パッチを適用する前にビジネス検証とデータバックアップを実行することを強くお勧めします。

情報源: