Ubuntu Weekly Topics

2018年5月25日号 “Spectre” Variant 3a/4への対応・Windows Server環境でのWSL

この記事を読むのに必要な時間:およそ 3.5 分

“Spectre” Variant 3a/4

CPUの歴史がまた少し書き換わる瞬間がやってきてしまいました。⁠Spectre⁠の新しい亜種,Variant 3aと4が公表されIntelAMDが利用者向けのガイドを提供しています。

Spectre Variant 4は,端的には「メモリの不当な読み取りが可能なものの,悪用はあまり現実的ではない」というものです。対策にはCPUマイクロコードの更新による新しい動作モード(SSBD)の追加と,OSカーネル側でのこの動作モードの有効化という2段階での対応が必要となります。しかしながら,慌てる必要はありません。この脆弱性は⁠Meltdown⁠と異なり,簡単に悪用できるものではありません。

まず,この脆弱性の悪用には,⁠Spectre” Variant 1/2/3と同じく,⁠悪意あるコード」「保護すべきワークロード」が同じ環境で動作する必要があります。典型的なシナリオでは「Webブラウザ上で悪意あるコードが動作する」というシチュエーションですが,各種ブラウザでは⁠Spectre⁠とその類似脆弱性の影響を受けうる要素を取り除いており,悪用する経路はほぼ排除されています。⁠悪意あるワークロードと保護すべきものが同居する」という状況が想定されない限り,そもそも悪用が困難です。

また,この脆弱性には「攻撃しうるワークロードである」という攻撃条件が存在します。業界内での調査では,現時点では,秘匿すべき「攻撃しうるワークロード」の具体例は発見されておらず,⁠理論的には危ないものの,現実的には悪用しても仕方ない」という状態となっています。一方,対策となるSSBDは非常にパフォーマンスペナルティが大きく,⁠対策するだけの必然性は特に見いだせないが,しかし対策を有効にすると性能が落ちる」という状況にあります。

……これらの状況を踏まえ,Ubuntuでは「OS側でのSSBD対応の追加」⁠ただしデフォルトでは有効にしない)既に行われています。

必要な場合はカーネルパッケージの更新で対応カーネルを入手できますが,現時点ではマイクロコードパッケージは提供されておらず,ハードウェア側が対応している(すでに更新されたマイクロコードが導入されている)必要があります。現時点ではまだIntel・AMDともに更新されたマイクロコードを提供しておらず,現実的にこの機能を利用することはできません。

ということで,この脆弱性は話題性の割に,⁠それほど危なくはないが,対策には確実にデメリットがあることだけは分かっている。しかし対策のための必須マイクロコードがまだ手に入らない」という,⁠今日の時点では何もできない」ものとなっています。継続して状況を確認することをお勧めします。

その他のニュース

  • Mark ShutleworthによるUbuntuの優位点の説明を含むインタビュー記事。
  • 「Windows Serverにおける」Windows Subsystem for Linux(WSL。いわゆる⁠Bash on Windows⁠のことです)インストール方法。ついに,クライアントWindowsではない環境にもWSLがやってきます。
  • Ubuntu BudgieUbuntu Kylinが,cosmicではi386のISOイメージの提供を行わないつもりである,という申請を行っています。

今週のセキュリティアップデート

usn-3600-2:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004392.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2018-5712, CVE-2018-7584を修正します。
  • usn-3600-1の12.04 ESM用パッケージです。
usn-3647-1:popplerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004393.html
  • Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-18267, CVE-2018-10768を修正します。
  • 悪意ある加工を施したPDFファイルを開かせることで,クラッシュを誘発させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3649-1:QEMUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004394.html
  • Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-16845, CVE-2018-7550, CVE-2018-7858を修正します。
  • 対処方法:アップデータを適用の上,QEMUを利用する仮想マシンを再起動してください。
usn-3648-1:curlのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004395.html
  • Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-1000300, CVE-2018-1000301, CVE-2018-1000303を修正します。
  • 悪意あるFTPサーバ・RTSPサーバに接続することで,メモリ破壊を伴うクラッシュが生じる場合がありました。任意のコードの実行に繋がることが考えられます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3642-2:DPDKのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004396.html
  • Ubuntu 17.10用のアップデータがリリースされています。CVE-2018-1059を修正します。
  • usn-3642-1のUbuntu 17.10向けバージョンです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3646-2:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004397.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2018-10545, CVE-2018-10547, CVE-2018-10548を修正します。
  • usn-3646-1の12.04 ESM向けバージョンです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3645-2:Firefoxの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004398.html
  • Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
  • Firefox 60.0.1のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-3650-1:xdg-utilsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004399.html
  • Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-18266を修正します。
  • BROWSER環境変数に悪意ある値が設定されていた場合,xdg-open実行時に,本来の意図と異なるURLを開かせることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3651-1:QEMU update
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004400.html
  • Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-3639への対策を提供します。
  • Spectre Variant 4への対応に必要なCapabilityを,⁠ホスト環境のハードウェアが対応している場合に)ゲストに提供するためのアップデートです。
  • 対処方法:アップデータを適用の上,QEMU仮想マシンを再起動してください。
usn-3652-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004401.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-3639への対策を提供します。
  • Spectre Variant 4への対応のための「SSBD」機能を利用可能にします。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:SSBDの利用には,ハードウェア(CPU)のマイクロコードがすでに更新されているか,あるいはアップデートされたマイクロコードパッケージが必要です。また,UbuntuではデフォルトではSSBDは無効にセットされています。
usn-3653-1, usn-3653-2:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004402.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004403.html
  • Ubuntu 17.10・16.04 LTS用のアップデータがリリースされています。CVE-2017-17449, CVE-2017-17975, CVE-2017-18203, CVE-2017-18208, CVE-2018-8822を修正します。また,CVE-2018-3639への対策を提供します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:SSBDの利用には,ハードウェア(CPU)のマイクロコードがすでに更新されているか,あるいはアップデートされたマイクロコードパッケージが必要です。また,UbuntuではデフォルトではSSBDは無効にセットされています。
usn-3654-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004404.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004405.html
  • Ubuntu 16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-17975, CVE-2017-18193, CVE-2017-18222, CVE-2018-1065, CVE-2018-1068, CVE-2018-1130, CVE-2018-5803, CVE-2018-7480, CVE-2018-7757, CVE-2018-7995, CVE-2018-8781, CVE-2018-8822を修正します。また,CVE-2018-3639への対策を提供します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:SSBDの利用には,ハードウェア(CPU)のマイクロコードがすでに更新されているか,あるいはアップデートされたマイクロコードパッケージが必要です。また,UbuntuではデフォルトではSSBDは無効にセットされています。
usn-3655-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004406.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-May/004407.html
  • Ubuntu 14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2017-12134, CVE-2017-13220, CVE-2017-13305, CVE-2017-17449, CVE-2017-18079, CVE-2017-18203, CVE-2017-18204, CVE-2017-18208, CVE-2017-18221, CVE-2018-8822を修正します。また,CVE-2018-3639への対策を提供します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:SSBDの利用には,ハードウェア(CPU)のマイクロコードがすでに更新されているか,あるいはアップデートされたマイクロコードパッケージが必要です。また,UbuntuではデフォルトではSSBDは無効にセットされています。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入