Ubuntu Weekly Topics

2018年1月26日号 Ubuntu Product Month,“Spectre”対策その後

この記事を読むのに必要な時間:およそ 4 分

Ubuntu Product Month

“Ubuntu Product Month⁠と称されるCanonicalがコミットしている技術をキャッチアップするための一ヶ月が始まります。2月7日から,LXDの紹介,Snapの紹介とSnapcraftの解説,そしてVMwareからCanonical OpenStackへのマイグレーション,Jujuによるクラウドオートメーションと,現在のUbuntuの特徴的な機能のWebinarが行われます。サーバー用途でUbuntuを利用する,あるいはSnapを用いたデプロイやJujuによるオーケストレーションに興味がある場合,事前登録の上でWebinarへ参加するとよいでしょう。

⁠Spectre⁠対策その後

Ubuntuにおける⁠Spectre⁠対策の現状が提供されています。

ポイントは次の点です。要約すると,⁠今後リリースされるマイクロコードと併用することでひとまず攻撃を防ぐことはできるが,利用する環境によっては性能ダウンに繋がることがある」です。

  • 1月22日から,⁠Spectre⁠対策のためのカーネルアップデートが,17.10,16.04 LTS,14.04 LTS用にUSN3540~3542として提供されています。12.04 ESM用は準備中です。また,17.04はすでにEOLしており,更新の予定はありません。
  • これらの修正が機能するためには,CPUマイクロコードの更新が必要です。 しかし,更新版のマイクロコードを提供するintel-microcodeパッケージはIntelのリクエストにより差し戻しが行われており,現時点では(マザーボード側で更新されているのでなければ)まだ機能しません注1)⁠
  • ワークロードに依存しますが,⁠Spectre⁠対策によって性能劣化が生じる可能性があります。
  • パフォーマンスに大きな影響を受けてしまった場合に備え,緩和策を必要に応じて無効にするためのMitigation Controlが準備されています。⁠多くのUbuntuユーザーが利用しているであろう)x64環境では,nopti,noibpb,noibrsがパフォーマンスに影響すると考えられるため,対策を無効にする場合はこれらのオプションを用いることになるでしょう注2注3)⁠
  • 各種対策は現在進行形で更新されています。今後の動向に注意し,より適切な対策手法が提供された場合,そちらに乗り換える必要があります。
注1
CPUのマイクロコードの更新を行う方法は大きく分けて2種類あります。ひとつはマザーボード(やPC)のファームウェアを更新することで,もうひとつがintel-microcodeパッケージのような,オンザフライで更新するソフトウェアセット(+バイナリブロブ)をOS側で持つことです。いずれかの方法で対応するマイクロコードが提供されれば良いのですが,現時点ではIntelからリリース版のマイクロコードが提供されていないため,どちらのアプローチも利用できません。
注2
これらのオプションはあくまでも脆弱性対策を無効にするものです。目的としては,今後登場する脆弱性への対応のために)カーネルを更新しつつ,しかしSpectre対策による性能劣化の影響を受けたくないので対策を無効にし,脆弱性の影響は他のレイヤで制御する」という場合に選択するものです。
注3
amd64環境ではnopcidも利用できますが,これは緩和実装に働く支援機能を無効にするもののため,むしろ性能を低下させる方向に働くと考えられます。

その他のニュース

今週のセキュリティアップデート

usn-3533-1:Transmissionのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004228.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-5702を修正します。
  • RPCサーバへのPOST処理において,DNS Rebinding攻撃を許す問題がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3534-1:GNU C Libraryのセキュリティアップデート
usn-3535-1, usn-3535-2:Bindのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004230.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004231.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2017-3145を修正します。
  • 特定のリクエストを送出することで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3536-1:GNU C Libraryのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004232.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2018-1000001を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3531-2:Intel Microcodeの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004233.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
  • usn-3531-1で提供された⁠Spectre⁠対策マイクロコードに由来する不具合が確認されたため,Intelのリクエストに基づいて当該のパッケージを20170707に差し戻すためのアップデートです。
usn-3537-1:MySQLのセキュリティアップデート
usn-3538-1:OpenSSHのセキュリティアップデート
usn-3539-1:GIMPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004237.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-17784, CVE-2017-17785, CVE-2017-17786, CVE-2017-17787, CVE-2017-17788, CVE-2017-17789を修正します。
  • 悪意ある加工を施した画像ファイルを処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行が可能と考えられます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3540-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004238.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。
  • ⁠Spectre⁠対策のppc64el向けバージョンです。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3541-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004239.html
  • Ubuntu 17.10用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により,Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず,利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上,システムを再起動してください。また,利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか,intel_microcodeパッケージの更新が必要です。
usn-3542-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004240.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により,Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず,利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上,システムを再起動してください。また,利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか,intel_microcodeパッケージの更新が必要です。
usn-3540-2:Linux kernel (Xenial HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004241.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により,Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず,利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上,システムを再起動してください。また,利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか,intel_microcodeパッケージの更新が必要です。
usn-3541-2:Linux kernel (HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004242.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により,Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず,利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上,システムを再起動してください。また,利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか,intel_microcodeパッケージの更新が必要です。
usn-3542-2:Linux kernel (Trusty HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004243.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により,Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず,利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上,システムを再起動してください。また,利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか,intel_microcodeパッケージの更新が必要です。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入