「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について

平素より、PRIMERGY製品をご愛顧いただきまして、誠にありがとうございます。

投機的実行機能を持つ CPU に対してサイドチャネル攻撃を行う手法が複数の研究者によって報告されています （JVNVU#93823979（CVE-2017-5715、CVE-2017-5753、CVE-2017-5754） 。
以下の対処方法をご覧いただき、ご対応くださいますようお願いいたします。
その他の機種につきましては、富士通公開ホームページ（脆弱性情報） をご参照願います。

投機的実行機能（speculative execution）：CPUの高速化手法の1つ。
分岐命令の先のプログラムを予測して実行する機能。現在使われている一般的なCPUにはほぼ搭載されている。

脆弱性の概要

今回の脆弱性は、悪意あるプログラムが攻撃対象のサーバ上で実行された場合に、従来保護されていたメモリに格納されているデータ（）が参照可能となるものです。

• データの改ざんの可能性はありません。
• 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の装置上で実行することが必要になりますので、外部ネットワーク（インターネット等）からリモートアクセスをするだけではメモリデータを参照する行為はできません。

OSのカーネル領域のメモリ、各プロセスのメモリや各仮想マシンのメモリ

対象機種

 PRIMERGY対象機種 / ソフト一覧（16.8KB）
［2018年7月27日更新］

OSのパッチはBIOSと同時に適用する必要はありません。脆弱性リスクの軽減に効果がありますので随時適用いただけますよう、お願いいたします。

対処方法

BIOS、オペレーティングシステム及び下記に公開されている修正について、すべて適用が必要です。

BIOSのアップデート

BIOSのアップデート版数情報は随時更新します。詳細はPRIMERGY対象機種/ソフト一覧をご確認ください。

1. PRIMERGY ダウンロード検索ページで、製品名、型名を選択し、カテゴリから“ファームウェア”を選択し、検索結果を表示します。
   

   PRIMERGY ダウンロード検索

2. 該当するBIOS書換データをダウンロードします。
3. ダウンロードしたデータを解凍し、Readme.txt をよく読みアップデートします。

オペレーティングシステムの修正適用

各種オペレーティングシステムの修正情報につきましては、下記のページよりご確認ください。

• Windows製品

  本問題に対するWindows Server 2008R2, 2012 R2, 2016に関するセキュリティアップデートがマイクロソフト社より公開されています。（注1）、（注2）

  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
  （* 上記URLの閲覧には利用規約への同意が必要です。）

  本セキュリティアップデートを有効とするためには対応するサーバのファームウェア（マイクロコード）アップデートの適用が必要です。また、ホストOSならびにゲストOSに適用する必要があります。

  （注1） 本セキュリティアップデートを適用するためには、セキュリティ対策ソフトウェア（アンチウイルスソフト）が予め対応している必要があります。必ず、各ベンダの対応を待ってから適用ください。
  各ベンダの対応状況はウイルス対策製品を参照ください。

  （注2） セキュリティアップデートが提供されないWindows Server OSの対応に関しては、現在マイクロソフト社へ確認しております。

  SQL Serverについて
  Microsoft社からセキュリティ修正に関する情報が出ていますので、OSのセキュリティ修正と併せて対処してください。

  【SQL Server 向けガイダンス】

  • https://support.microsoft.com/en-us/help/4073225 （英語版）
  • https://support.microsoft.com/ja-jp/help/4073225 （日本語訳）
  • ［重要］「スペクターおよびメルトダウンのサイドチャネルの脆弱性に対する攻撃から SQL Server を保護する」にてマイクロソフトが公開したSQL Serverパッチの適用について
• Linux製品

  ＜Red Hat社＞
  本問題に関するセキュリティアップデートがRed Hat社より公開されています。以下のサイトを確認し、ホストOSならびにゲストOSに適用ください。

  • https://access.redhat.com/security/vulnerabilities/speculativeexecution

  ＜SUSE社＞
  本問題に関するセキュリティ修正が、SUSE社より公開されています。以下のサイトを確認し、ホストOSならびにゲストOSに適用ください。

  • Security Vulnerability: "Meltdown" and "Spectre" side channel attacks against modern CPUs.
  • https://www.suse.com/security/cve/CVE-2017-5753/
  • https://www.suse.com/security/cve/CVE-2017-5715/
  • https://www.suse.com/security/cve/CVE-2017-5754/
• VMware製品

  本問題に対する VMware 製品に関した情報については、ヴイエムウェア社から公開されています。

  ヴイエムウェア社 Knowledge Base: 52245
  VMware Response to Speculative Execution security issues, CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 （aka Spectre and Meltdown） （52245）

  ＜VMware仮想化製品＞
  VMware vSphere ESXi 6.5、6.0、5.5、VMware vCenter Server 6.5、6.0、5.5 およびVMware Workstation 14.x、12.x については、セキュリティアップデートがヴイエムウェア社より公開されています。
  VMware Security Advisories: VMSA-2018-0002
  VMware Security Advisories: VMSA-2018-0004

  提供される修正モジュールには、本セキュリティ脆弱性に対応するモジュール以外のセキュリティ修正や障害修正を含みます。業務システムの適用に際しては、予め検証環境等での評価をお願いいたします。

  ゲストOS（Windows、Linux）の対処は、各種オペレーティングシステムの修正情報をご確認ください。また、仮想マシンのバージョンを9以上にしてください。以下のヴイエムウェア社 Knowledge Baseをご確認ください。

  ヴイエムウェア社 Knowledge Base: 1010675
  Upgrading a virtual machine to the latest hardware version (multiple versions) (1010675)

  ＜VMware 仮想アプライアンス製品＞
  VMware仮想アプライアンスに関する影響有無、対処策については、以下のヴイエムウェア社 VMware Security AdvisoryおよびKnowledge Baseをご確認ください。

  VMware Security Advisories: VMSA-2018-0007

  ヴイエムウェア社 Knowledge Base: 52264
  VMware Virtual Appliances and CVE-2017-5753, CVE-2017-5715 （Spectre）, CVE-2017-5754 （Meltdown） （52264）

• Citrix製品
  

  XenServerの場合、以下セキュリティアップデートが公開されています。
  https://support.citrix.com/article/ctx231390

  XenDesktop/XenApp/XenMobile/Sharefile/Netscalerについては、本脆弱性の影響はありません。以下にCitrix社の情報が公開されています。
  https://support.citrix.com/article/CTX231399

アップデートによる影響について

今回のアップデートを適用することで、お客様の運用環境によっては性能への影響が発生する可能性があります。適用に当たってはご利用環境での事前確認を実施願います。

性能への影響については、CPUメーカー（Intel社）、OS提供元（マイクロソフト社、RedHat社）から提供されているパフォーマンスに関する調査結果を参考としてください。

• ［Intel社］ Side Channel Attacks - Vulnerability Analysis, News, and Updates
• ［マイクロソフト社］ Windows システム上の Spectre および Meltdown に対する緩和策のパフォーマンスへの影響について
• ［RedHat社］ 投機的実行の脆弱性によるパフォーマンスへの影響: CVE-2017-5754、CVE-2017-5753、および CVE-2017-5715 に対するセキュリティーパッチによるパフォーマンスへの影響

脆弱性に関する詳細

詳細については以下のページをご覧ください。

• Intel Analysis of SpeculativeExecution Side Channels（英語）
• Intel Analysis of Speculative Execution Side Channels White Paper
• JVN: JVNVU#93823979 投機的実行機能を持つ CPU に対するサイドチャネル攻撃
• US-CERT: VU#584653:CPU hardware vulnerable to side-channel attacks
• CVE: CVE-2017-5715
• CVE: CVE-2017-5753
• CVE: CVE-2017-5754

本内容は予告なく変更される場合があります。あらかじめご了承ください。

ウイルス対策製品

マイクロソフト社が配布するセキュリティアップデートを適用するためには、各社ウイルス対策製品が当該セキュリティアップデートに予め対応していることを各社公開サイトにて確認下さい。対応している場合のみ適用できます。対応しない製品の場合はブルースクリーンの発生やシステム停止の可能性がありますので、ベンダの対応を待ってください。

適用可能と確認ができてから、セキュリティアップデートを適用ください。セキュリティアップデート適用手段は手動またはWindows UpdateまたはWSUSのいずれかになります。Windows UpdateまたはWSUSで適用する場合は、各ウイルス対策ベンダが用意する自動レジストリキー追加モジュールを事前に実行する必要があります。

各社の最新対応状況と情報公開サイトは、以下を確認ください。

Trend Micro社

自動レジストリキー追加モジュールは現在準備中（順次公開予定）。
以下の、対象製品ではブルースクリーンが発生しないことを検証済みであり、手動でのレジストリキー追加により自動Windows Updateが可能。

• 対象製品
  ウイルスバスターコーポレートエディション、ウイルスバスタービジネスセキュリティ、ウイルスバスタービジネスセキュリティサービス、ServerProtect for Microsoft Windows、ServerProtect for Storage、ServerProtect for Network Appliance Filers、Deep Security
  最新の対応製品及びバージョンは、下記公開サイトで確認ください。
• 公開サイト
  Trend Micro社サイト

Symantec社

エンタープライズ製品向けの更新された ERASER エンジン（117.3.0.358以上）は、2018年1月4日 rev 1 （シーケンス番号: 189937） 以降のウイルス定義に含まれています。

全てのインストールパッケージが、コンテンツなしか、ERASER エンジン 117.3.0.358 以上が含まれるコンテンツを含んでいるかどうかを確認してください。

STOP エラーが発生するリスクを軽減するために、 Windows Update は、古いバージョンの消去 （ERASER） エンジンがインストールされているかどうかを検出し、更新を非表示にします。

Windows Update が適用された後に、古い ERASER エンジンの適用を防ぐことはできません。手動スキャンまたは定時スキャン、アクティブスキャンによる STOP エラーが再発しないように、この定義を適用後は、この定義よりも前の定義にロールバックしないでください。

• 対象製品
  Symantec Endpoint Protection
  最新の対応製品及びバージョンは、下記公開サイトで確認ください。
• 公開サイト
  Symantec社サイト

McAfee社

手動でのレジストリキー作成により自動Windows Updateが可能。
自動でのレジストリキー追加モジュールは現在準備中。

• 対象製品
  Data Exchange Layer、Data Loss Prevention、Drive Encryption、ePolicy Orchestrator、Endpoint Security、File and Removable Media Protection、Host IPS、McAfee Active Response、McAfee Agent、McAfee Application Control、McAfee Active Response、McAfee Client Proxy、MOVE、Native Encryption、SiteAdvisor Enterprise、System Information Reporter、Threat Intelligence Exchange （TIE） Client for VSE、VirusScan Enterprise、VirusScan Enterprise for Storage
  最新の対応製品及びバージョンは、下記公開サイトで確認ください。
• 公開サイト
  McAfee 社サイト

Kaspersky社

カスペルスキーはこの問題に対応する定義データベースを2017年12月28日にリリースしすでに対応済みです。

2017年12月28日以降の定義データベースがダウンロードされたカスペルスキー製品では、マイクロソフト社のセキュリティ更新プログラムが適用されます。

定義データベースのアップデートは初期設定で自動で実行される設定になっておりますので、追加操作の必要はございません。手動で定義データベースをアップデートするには、製品のメイン画面にある [ アップデート ] ボタンをクリックしてください。

• 対象製品
  全製品
• 公開サイト
  Kaspersky社サイト

Cylance社

初期テストで対象製品は、互換性の観点で影響がないことが確認されております（一部報道で懸念されているブルースクリーン事象等も確認されていません）。

自動のWindowsアップデートにより今回のパッチを適用する場合には、レジストリ設定の変更が必要になります（マニュアルでのパッチ適用の場合には必要ありません）。Cylanceでは、レジストリ設定変更のための方法および専用ツールを提供しています。

また、共存するウイルス対策ソフトウェアなどがある場合は、当該製品も本セキュリティモジュールが適用可能であることを事前に確認して下さい。

本セキュリティモジュールを適用する際はまずテスト環境で確認されることを推奨します。

自動でのレジストリキー追加モジュールはサポートKBから提供済です。

• 対象製品
  CylancePROTECT、CylanceOPTICS
  最新の対応製品及びバージョンは、下記公開サイトで確認ください。
• 公開サイト
  Cylance社サイト

お問い合わせ窓口

BIOS/ファームウェアのアップデートに関するお問い合わせは、以下の窓口までお問い合わせください。
本脆弱性の対象機種、および対処方法につきましては、当ページでご紹介しております。お問い合わせの前にご確認をお願いします。

• SupportDeskご契約のお客様
  ご契約のお客様専用の電話でお問い合わせを受け付けております。
  SupprtDesk受付窓口は「ご利用の手引き」のご利用方法に記載された電話番号をご確認ください。
  窓口の連絡先がご不明な場合は、当社営業/販売会社までご連絡ください。
• SupportDesk未契約のお客様
  富士通ハードウェア修理相談センター
  0120-422-297
  • お問い合わせ時間：月～金曜日 9時～17時
    （祝日および12月30日～1月3日をのぞく）
  • 音声ガイダンスにしたがって、お進みください。
    お問合せの際は誠にお手数ですが「BIOS、ファームウェアのアップデートについて」とお知らせください。