CPUの脆弱性(Intel MDS他)への対応について
更新日:2020年6月5日
CPUの脆弱性(Intel MDS他)への対応について
日頃は、MAGNIAシリーズ製品をご愛用いただきまして誠にありがとうございます。
このたび第三者機関により発見され、複数の研究機関、企業から情報公開されております、投機的実行機能やアウトオブオーダー実行機能を持つCPUの脆弱性につきまして、ご案内いたします。
報告されている新たな脆弱性のうち、以下が該当します。
CVE識別番号
CVE-2019-0086、CVE-2019-0089、CVE-2019-0090、CVE-2019-0091、CVE-2019-0092、
CVE-2019-0093、CVE-2019-0094、CVE-2019-0096、CVE-2019-0097、CVE-2019-0098、
CVE-2019-0099、CVE-2019-0153、CVE-2019-0170、CVE-2019-0119、CVE-2019-0120、
インテル社アドバイザリ番号
INTEL-SA-00213、INTEL-SA-00223、INTEL-SA-00233
弊社対象装置をご利用いただいている場合、本脆弱性の対象装置に対して、悪意のあるプログラムにより攻撃を受けると、遠隔の第三者がサービス運用妨害(DoS)攻撃を行ったり、情報を窃取・改ざんしたりするなどの可能性があります。
脆弱性に関する情報
・以下の脆弱性において、脆弱性を突いた攻撃を受けた場合に、対象装置内のメモリのデータを不正に取得される、データを改ざんされる、遠隔の第三者によるサービス運用妨害(DoS)攻撃を受ける可能性があります。
<2019年5月に公表された脆弱性(INTEL-SA-00213、INTEL-SA-00223、INTEL-SA-00233)>
関連情報
JVNVU#92328381「Intel 製品に複数の脆弱性」
https://jvn.jp/vu/JVNVU92328381/
インテル社から公開されたプレスリリース(脆弱性情報・英文)
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00213.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00223.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html
対処方法
上述したいずれの脆弱性とも、対象装置のシステムBIOSアップデートと、使用されているオペレーティングシステムの修正適用が必要です。
・システムBIOSアップデートの適用
<対象機種一覧、修正物件公開時期>
以下の対象機種一覧に修正物件の公開時期および公開先を記載しています。
該当する修正物件をダウンロードして適用ください。
<対象機種一覧、修正物件公開時期>
システムBIOS適用のご注意
BIOSの取得およびご適用の前に、ご使用いただいております製品のBIOSバージョンを必ずご確認いただき、対策適用以降の最新バージョンをご適用ください。
システムBIOSアップデートモジュールは準備中であり、モジュールの公開時期等の情報は随時更新いたします。
対象機種一覧
| 製品名 |
対象脆弱性 | |
|---|---|---|
INTEL-SA-00213 INTEL-SA-00223 |
||
公開時期 |
公開ページ |
|
| MAGNIA C1300b | 確認中 | − |
| MAGNIA C1300c | 確認中 | − |
| MAGNIA C1300d | 確認中 | − |
| MAGNIA C1300e(注) | 確認中 | − |
| MAGNIA C1300f(注) | 2020/5/19 | ダウンロード  |
| MAGNIA T1340b | 確認中 | − |
| MAGNIA T1340c | 確認中 | − |
| MAGNIA T1340d | 確認中 | − |
MAGNIA T1340e(注) |
確認中 | − |
| MAGNIA T1340f(注) | 2020/5/19 | ダウンロード |
| MAGNIA T1540d | 確認中 | − |
| MAGNIA R1310b | 確認中 | − |
| MAGNIA R1310c | 確認中 | − |
| MAGNIA R1310d | 確認中 | − |
| MAGNIA R1310e(注) | 確認中 | − |
| MAGNIA R1310f(注) | 2020/5/19 | ダウンロード |
| MAGNIA R1510b | 確認中 | − |
| MAGNIA R3310b | 確認中 | − |
| MAGNIA R3310c | 確認中(SA-00233のみ該当) | − |
| MAGNIA R3310d | 確認中(SA-00233のみ該当) | − |
| MAGNIA R3310e | 2019/12/18(SA-00233のみ該当) | ダウンロード |
| MAGNIA R3310f | 2020/1/07 | ダウンロード |
| MAGNIA R3320b | 確認中 | − |
| MAGNIA R3320c | 確認中(SA-00233のみ該当) | − |
| MAGNIA R3320d | 確認中 | − |
| MAGNIA R3320e | 2020/5/19 | ダウンロード |
| MAGNIA R3320f | 2020/1/07 | ダウンロード |
| MAGNIA R3510a | 確認中(SA-00233のみ該当) | − |
| MAGNIA R3510b | 確認中(SA-00233のみ該当) | − |
| MAGNIA R3510c | 確認中(SA-00233のみ該当) | − |
| MAGNIA R3510d | 2019/12/18 | ダウンロード |
| MAGNIA R3510e | 2020/1/07 | ダウンロード |
| MAGNIA R3520a | 確認中(SA-00233のみ該当) | − |
| MAGNIA R3520b | 確認中(SA-00233のみ該当) | − |
| MAGNIA R3520c | 確認中(SA-00233のみ該当) | − |
| MAGNIA R3520d | 2019/12/18 | ダウンロード |
| MAGNIA R3520e | 2020/1/07 | ダウンロード |
| MAGNIA T3350b | 確認中(SA-00233のみ該当) | − |
| MAGNIA T3350c | 確認中(SA-00233のみ該当) | − |
| MAGNIA T3350d | 確認中 | − |
| MAGNIA T3350e | 2020/5/19 | ダウンロード |
| MAGNIA T3350f | 2020/1/07 | ダウンロード |
| MAGNIA D3305a | 確認中(SA-00233のみ該当) | − |
| MAGNIA D3305b | 確認中(SA-00233のみ該当) | − |
(注) 本製品のオプションGAカード向けに、本脆弱性に対する対応ドライバが配信されております。対象オプション型番および対応ドライバは、各装置のサポート情報から検索して適用してください。
・オペレーティングシステム(OS)などのセキュリティアップデートの適用
各オペレーティングシステム(OS)ベンダから公開されております対策情報をご参照ください。
<2019年5月に公表された脆弱性への対応>
[Windows]
Microsoft社の下記サイトに情報が公開されています
- Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス
[VMWare]
vmware社の下記サイトに情報が公開されています
- VMSA-2019-0008
VMware product updates enable Hypervisor-Specific Mitigations, Hypervisor-Assisted Guest Mitigations, and Operating System-Specific Mitigations for Microarchitectural Data Sampling (MDS) Vulnerabilities (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, and CVE-2019-11091)
https://www.vmware.com/security/advisories/VMSA-2019-0008.html
[Linux(RHEL)]
Red Hat社の下記サイトに情報が公開されています
- MDS - Microarchitectural Data Sampling - CVE-2018-12130, CVE-2018-12126, CVE-2018-12127, and CVE-2019-11091
https://access.redhat.com/security/vulnerabilities/mds
■アップデートの影響について
今回のアップデートを適用することにより、お客様の運用環境によっては性能への影響が生じる可能性があります。運用環境への影響を考慮した上で、適用をお願いします。
