「投機的実行機能を持つ CPU に対するサイドチャネル攻撃（CVE-2018-3639、CVE-2018-3640）」について

平素より、富士通製品をご愛顧いただきまして、誠にありがとうございます。

2018年1月に公開されました投機的実行機能を持つ CPU に対する サイドチャネル攻撃「CVE-2017-5715、CVE-2017-5753、CVE-2017-5754」の派生型が、新たに報告されています。
以下の対処方法をご覧いただき、ご対応くださいますようお願いいたします。
その他の機種につきましては、富士通公開ホームページ（脆弱性情報） をご参照願います。

投機的実行機能（speculative execution）：CPUの高速化手法の1つ。
分岐命令の先のプログラムを予測して実行する機能。現在使われている一般的なCPUにはほぼ搭載されている。

脆弱性の概要

今回の脆弱性は、悪意あるプログラムが攻撃対象のサーバ上で実行された場合に、従来保護されていたメモリに格納されているデータ（1）やレジスタ（2）が参照可能となるものです。

• データの改ざんの可能性はありません。
• 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の装置上で実行することが必要になりますので、外部ネットワーク（インターネット等）からリモートアクセスをするだけではメモリデータを参照する行為はできません。

（1）OSのカーネル領域のメモリ、各プロセスのメモリや各仮想マシンのメモリ
（2）CPUの状態を表示する記憶域

対象機種

 PRIMERGY対象機種 / ソフト一覧（19KB） [2018年12月20日］

 PRIMEQUEST対象機種 / ソフト一覧（10KB） [2018年7月17日］

OSのパッチはBIOSと同時に適用する必要はありません。脆弱性リスクの軽減に効果がありますので随時適用いただけますよう、お願いいたします。

対処方法

BIOS、本体ファームウェア、オペレーティングシステム及び下記に公開されている修正について、すべて適用が必要です。

PRIMERGY

• BIOSのアップデート

  BIOSのアップデート版数情報は随時更新します。詳細はPRIMERGY対象機種/ソフト一覧をご確認ください。

  1. PRIMERGY ダウンロード検索ページで、製品名、型名を選択し、カテゴリから“ファームウェア”を選択し、検索結果を表示します。
     

     PRIMERGY ダウンロード検索

  2. 該当するBIOS書換データをダウンロードします。
  3. ダウンロードしたデータを解凍し、Readme.txt をよく読みアップデートします。

PRIMEQUEST

• 本体ファームウェアのアップデート
  1. PRIMEQUEST対象機種 / ソフトウェア一覧にて対象機種の本体ファームウェアの対策済バージョンをご確認ください。
  2. PRIMEQUESTダウンロードページで対象機種の本体ファームウェアダウンロードページを開きます。
     PRIMEQUEST 3000シリーズ 本体ファームウェアのダウンロード
     PRIMEQUEST 2000シリーズ 本体ファームウェアのダウンロード
     PRIMEQUEST 1000シリーズ ファームウェアのダウンロード
     
  3. 該当する本体ファームウェアをダウンロードします。
  4. ダウンロードしたzipファイルを展開します。
  5. 「はじめにお読みください」「ファームウェアアップデート手順書」をよく読みアップデートします。

オペレーティングシステムの修正適用

各種オペレーティングシステムの修正情報につきましては、下記のページよりご確認ください。

• Windows製品

  マイクロソフト社は CVE-2018-3639（ADV180012）の問題を緩和するためのセキュリティアップデートを公開しています。
  下記ページを参照の上、セキュリティアップデートの適用 および 必要なレジストリの設定 を実施ください。
  また、本問題はセキュリティアップデートに加えて、BIOS/本体ファームウェア の更新も必要です。

  CVE-2018-3640（ADV180013）は、BIOS/本体ファームウェアの更新のみで対応できます。Windowsのセキュリティアップデートはありません。

  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180013
  （ 上記URLの閲覧には利用規約への同意が必要です。）

• Linux製品

  ＜Red Hat社＞
  本問題に関するセキュリティアップデートがRed Hat社より公開されています。以下のサイトを確認し、ホストOSならびにゲストOSに適用ください。

  • CVE-2018-3639
  • CVE-2018-3640
  • Kernel Side-Channel Attack using Speculative Store Bypass - CVE-2018-3639

  ＜SUSE社＞
  本問題に関するセキュリティ修正が、SUSE社より公開されています。以下のサイトを確認し、ホストOSならびにゲストOSに適用ください。

  • Security Vulnerability: Spectre Variant 3a (Rogue Register Load) - CVE-2018-3640
  • CVE-2018-3640
  • Security Vulnerability: Spectre Variant 4 (Speculative Store Bypass) aka CVE-2018-3639
  • CVE-2018-3639
• VMware製品

  本問題に対する VMware 製品に関した情報については、ヴイエムウェア社より公開されています。

  ヴイエムウェア社 Knowledge Base: 54951
  VMware Response to Speculative Execution security issues, CVE-2018-3639 and CVE-2018-3640 (54951)

  ＜VMware仮想化製品＞
  VMware vSphere ESXi 6.7、6.5、6.0、5.5、VMware vCenter Server 6.7、6.5、6.0、5.5 については、セキュリティアップデートがヴイエムウェア社より公開されています。また、VMware Workstation 14.x についても、セキュリティアップデートが公開されています。
  VMware Security Advisories: VMSA-2018-0012

  ゲストOS（Windows、Linux）の対処は、各種オペレーティングシステムの修正情報をご確認ください。また、仮想マシンのバージョンを少なくとも9以上にする必要がありますが、性能の観点からバージョン11以上を推奨します。アップグレードの方法については、以下のヴイエムウェア社 Knowledge Baseをご確認ください。

  ヴイエムウェア社 Knowledge Base: 1010675
  Upgrading a virtual machine to the latest hardware version (multiple versions) (1010675)

アップデートによる影響について

今回のアップデートを適用することで、お客様の運用環境によっては性能への影響が発生する可能性があります。適用に当たってはご利用環境での事前確認を実施願います。

脆弱性に関する詳細

詳細については以下のページをご覧ください。

• CVE:CVE-2018-3639（英語） （Common Vulnerabilities and Exposures）
• CVE:CVE-2018-3640（英語） （Common Vulnerabilities and Exposures）
• JVNVU#97971879 投機的実行機能を持つ CPU に対するキャッシュサイドチャネル攻撃 （Japan Vulnerability Notes）
• Q2 2018 Speculative Execution Side Channel Update（英語） （Intel Corporation）
• ADV180012 | Microsoft Guidance for Speculative Store Bypass  （マイクロソフト社）
• ADV180013 | Microsoft Guidance for Rogue System Register Read  （マイクロソフト社）
• Analysis and mitigation of speculative store bypass (CVE-2018-3639) （英語） （Microsoft Corporation）

本内容は予告なく変更される場合があります。あらかじめご了承ください。

参考

PRIMERGY

• 「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について （2018年5月）

PRIMEQUEST

• 「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について （2018年3月）

お問い合わせ窓口

BIOS/ファームウェアのアップデートに関するお問い合わせは、以下の窓口までお問い合わせください。
本脆弱性の対象機種、および対処方法につきましては、当ページでご紹介しております。お問い合わせの前にご確認をお願いします。

• SupportDeskご契約のお客様
  ご契約のお客様専用の電話でお問い合わせを受け付けております。
  SupprtDesk受付窓口は「ご利用の手引き」のご利用方法に記載された電話番号をご確認ください。
  窓口の連絡先がご不明な場合は、当社営業/販売会社までご連絡ください。
• SupportDesk未契約のお客様
  富士通ハードウェア修理相談センター
  0120-422-297
  • お問い合わせ時間：月～金曜日 9時～17時
    （祝日および12月30日～1月3日をのぞく）
  • 音声ガイダンスにしたがって、お進みください。
    お問合せの際は誠にお手数ですが「BIOS、ファームウェアのアップデートについて」とお知らせください。