マイクロプロセッサーのサイドチャネル脆弱性(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754): Dell EMCサーバー、ストレージ、およびネットワーキングへの影響

マイクロプロセッサーのサイドチャネル脆弱性(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754): Dell EMCサーバー、ストレージ、およびネットワーキングへの影響


2018/11/21

CVE ID: CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

Dell EMCは、2018年1月3日にセキュリティ調査チームにより報告されたサイドチャネル解析の脆弱性(別名: MeltdownおよびSpectre)が、多数の最新マイクロプロセッサーに影響を及ぼすことを把握しています。詳細情報については参照資料の項のセキュリティ勧告を参照することを推奨します。

パッチに関するガイダンス(2018年2月8日アップデート):

インテルが1月22日に公表した勧告にもとづき、Dell EMCは新しいマイクロコードを受け取りました。Spectre(バリアント2)CVE-2017-5715を解決するため、Dell EMCは、影響を受けるプラットフォームに対する新しいBIOSアップデートを公開します。製品のをアップデートしました。また、今後インテルがマイクロコードをリリースするたびにアップデートされる予定です。お使いの製品にアップデート済みのBIOSがあるとリストされている場合は、MeltdownおよびSpectreを予防するため、そのBIOSにアップグレードし、適切なOSパッチを適用することをお勧めします。
 
お使いの製品のアップデート済みのBIOSがリストにない場合は、過去にリリースされたBIOSアップデートを導入せず、アップデート済みのバージョンのリリースを待つようお願いします。

インテルが1月22日に公表した勧告にもとづき、問題がある可能性があるBIOSアップデートを適用済みの場合、システムの予期せぬ動作を回避するため、以前のBIOSバージョンに戻すことができます。次のを参照してください。

なお、オペレーティングシステムのパッチには影響はなく、引き続きSpectre(バリアント1)およびMeltdown(バリアント3)の軽減に有効です。マイクロコードのアップデートが必要なのは、スペクター(バリアント2)、CVE-2017-5715のみです。

  前述の脆弱性を軽減するために適用する必要がある重要なコンポーネントが2個あります。

  1. 下の表のシステムBIOS
  2. オペレーティングシステムおよびハイパーバイザのアップデート
該当するハイパーバイザ/OSベンダーのセキュリティ勧告を確認することをお勧めします。下の参照資料の項には、このベンダーのリンクも一部含まれています。

Dell EMCでは、今後アップデートが適用されるまで、お客様に一般的なマルウェア保護対策のセキュリティ・ベスト・プラクティスに従って、可能性のある解析攻撃から保護することを推奨します。これらのプラクティスには、早急なソフトウェアアップデートの適用、不明なハイパーリンクやWebサイトの回避、権限アカウントへのアクセス保護、およびセキュアなパスワードプロトコルの使用が含まれます。
 

これら3つのCVE脆弱性に対するパッチまたは修正が不要なデル製品


Dell Storage製品ライン
評価
Dell™ EqualLogic PSシリーズ この製品に搭載されたCPUには、投機的実行が実装されていないため、このハードウェアには脆弱性が該当しません。
Dell EMC SCシリーズ(Compellent) 外部コードをロードするプラットフォームOSへのアクセスが制限されています。悪意のあるコードを実行できません。
Dell Storage MD3およびDSMS MD3シリーズ 外部コードをロードするプラットフォームOSへのアクセスが制限されています。悪意のあるコードを実行できません。
Dell PowerVaultテープドライブおよびライブラリ 外部コードをロードするプラットフォームOSへのアクセスが制限されています。悪意のあるコードを実行できません。
Dell Storage FluidFSシリーズ(FS8600、FS7600、FS7610、FS7500、NX3600、NX3610、NX3500など) 外部コードをロードするプラットフォームOSへのアクセスが権限アカウントに限定されています。
権限アカウントへのアクセス保護に関する推奨されるベストプラクティスに従っていることを前提として、悪意のあるコードを実行することができません。
 
Dell Storage仮想アプライアンス
評価
Dell Storage Manager仮想アプライアンス(DSM VA - Compellent) この仮想アプライアンスでは、一般ユーザがアクセスできません。 
シングルユーザおよびルートユーザに限定されているため、環境にその他のセキュリティリスクが発生する可能性がありません。 
ホストシステムおよびハイパーバイザを保護する必要があります。前述記のベンダーリンクおよびベストプラクティスに関する声明を参照してください。
 
Dell Storage Integration Tools for VMware(Compellent)
Dell EqualLogic Virtual Storage Manager(VSM - EqualLogic)

PowerEdgeサーバ製品用システム管理
Component
評価
 iDRAC: 14G、13G、12G、11G  
影響なし
iDRACは外部サードパーティのコードを実行できないクローズシステムです。
 Chassis Management Controller(CMC): 14G、13G、12G、11G  
影響なし
CMCは外部サードパーティのコードを実行できないクローズシステムです。
プラットフォーム 評価
 
Dell 10Gbイーサネットパススルー
これらの製品は、シングルユーザおよびルートユーザに限定されたアプライアンスです。高度な権限アカウントのアクセス保護に関して推奨されるベストプラクティスに従っていることを前提として、報告された問題によってお客さまの環境にそれ以上のセキュリティリスクが発生する可能性はありません。
Dell 10Gb-Kイーサネットパススルー
Dellイーサネットパススルー
FC8パススルー
Force10 MXL Blade
PowerConnect M6220
PowerConnect M6348
PowerConnect M8024
PowerConnect M8024-K
プラットフォーム 評価
 
Brocade M5424、M6505、M8428-k ベンダーのステートメント
Cisco Catalyst 3032、3130、3130G、3130X ベンダーのステートメント
Cisco Catalyst Nexus B22 Dell Blade Fabric Extender ベンダーのステートメント
Mellanox M2401G、M361Q、M4001F Fi ベンダーのステートメント
プラットフォーム 評価
 
C1048P、C9010

これらの製品は、シングルユーザおよびルートユーザに限定されたアプライアンスです。高度な権限アカウントのアクセス保護に関して推奨されるベストプラクティスに従っていることを前提として、報告された問題によってお客さまの環境にそれ以上のセキュリティリスクが発生する可能性はありません。
M I/Oアグリゲータ
MXL
FX2
N11xx、N15xx、N20xx、N30xx、
N2128PX、N3128PX
S55、S60
S3048-On OS9、S3048-on OS10 Enterprise、S3100、S3124F、S3124P、S3148P
S4048、S4048-ON OS9、S4048-ON OS10 Enterprise、S4048T-ON OS9、S4048T-ON OS10 Enterprise
S4128F-ON、S4148F-ON、S4128T-ON、S4148T-ON、S4148U-ON、S4148FE-ON、S4148FB、S4248FBL
S5048、S5048F-ON、S5148F
S6000、S6000-ON OS9、S6010-ON OS9、S6010-ON OS10 Enterprise、S6100-ON
SIOM
Z9000、Z9100 OS9、Z9100 OS10 Enterprise
プラットフォーム 評価
 
PowerConnect 2016、2124、2216、2224、2324、2508、2608、2616、2624

これらの製品は、シングルユーザおよびルートユーザに限定されたアプライアンスです。高度な権限アカウントのアクセス保護に関して推奨されるベストプラクティスに従っていることを前提として、報告された問題によってお客さまの環境にそれ以上のセキュリティリスクが発生する可能性はありません。
PowerConnect 2708、2716、2724、2748、2808、2816、2824、2848
PowerConnect 3024、3048、3248、3324、3348
PowerConnect 3424、3424P、3448、3448P、3524、3524P、3548、3548P
PowerConnect 5012、5212、5224、5316M、5324、5424、5448、5524、5524P、5548、5548P
PowerConnect 6024、6024F、6224、6224F、6224P、6248、6248P
PowerConnect 7024、7024F、7024P、7048、7048P、7048R
PowerConnect 8024、8024F、8100シリーズ
PowerConnect B-8000、B-8000e、B-FCXs、B-T124X
PowerConnect J-EX4200、J-EX4200-24F、J-EX4200-24t、J-EX4200-48t、J-EX4500
PowerConnect J-SRX100、J-SRX210、SRX240
C9000シリーズのラインカード
プラットフォーム 評価
 
Brocade 300、4424 Switch Fi、5100、5300 ベンダーのステートメント
Brocade 6505、6510、6520、G620 ベンダーのステートメント
Cisco Catalyst 3750E-48TD、4900M、4948-10GE ベンダーのステートメント
プラットフォーム 評価
 
Active Fabric Controller ソフトウェアへの影響なし
Active Fabric Manager ソフトウェアへの影響なし
Dell Networking vCenterプラグイン ソフトウェアへの影響なし
Dell OpenManage Network Manager ソフトウェアへの影響なし
HiveManager NG 移行は必要ない。ベンダーのステートメント
Open Automation ソフトウェアへの影響なし
ソフトウェア定義型ネットワーキング ソフトウェアへの影響なし



メモ: 次の表にBIOS/Firmware/Driverガイダンスが用意された製品を示します。この情報は、追加情報が発生したときに更新されます。お使いのプラットフォームが記載されていない場合は、後日確認してください。

サーバのBIOSは、iDRACを使用してアップデートすることも、オペレーティングシステムを使用して直接アップデートすることもできます。その他の方法については、この文書に記載されています。

最低限必要なBIOSのバージョンを次に示します。

PowerEdgeサーバおよびネットワーキング製品のBIOS/ファームウェア/ドライバのアップデート


世代 モデル BIOSのバージョン
14G R740、R740XD、R640、R940 XC740XD、XC640 1.3.7
R540、R440、T440、XR2 1.3.7
T640 1.3.7
C6420 1.3.7
FC640、M640、M640P 1.3.7
C4140 1.1.6
R6415、R7415 1.0.9
R7425 1.0.9
世代 モデル BIOSのバージョン
13G R830 1.7.1
T130、R230、T330、R330、NX430 2.4.3
R930 2.5.1
R730、R730XD、R630、NX3330、NX3230、DSMS630、DSMS730、XC730、XC703XD、XC630 2.7.1
C4130 2.7.1
M630、M630P、FC630 2.7.1
FC430 2.7.1
M830、M830P、FC830 2.7.1
T630 2.7.1
R530、R430、T430、XC430、XC430Xpress 2.7.1
R530XD 1.7.0
C6320、XC6320 2.7.1
C6320P 2.0.5
T30 1.0.12
世代 モデル BIOSのバージョン
12G R920 1.7.1
R820 2.4.1
R520 2.5.1
R420 2.5.1
R320、NX400 2.5.1
T420 2.5.1
T320 2.5.1
R220 1.10.2
R720、R720XD、NX3200、XC720XD 2.6.1
R620、NX3300 2.6.1
M820 2.6.1
M620 2.6.1
M520 2.6.1
M420 2.6.1
T620 2.6.1
FM120x4 1.7.0
T20 A16
C5230 1.3.1
C6220 2.5.5
C6220II 2.8.1
C8220、C8220X 2.8.1
世代 モデル BIOSのバージョン
11G R710 6.5.0
NX3000 6.6.0***
R610 6.5.0
T610 6.5.0
R510 1.13.0
NX3100 1.14.0***
R410 1.13.0
NX300 1.14.0***
T410 1.13.0
R310 1.13.0
T310 1.13.0
NX200 1.14.0***
T110 1.11.1
T110-II 2.9.0
R210 1.11.0
R210-II 2.9.0
R810 2.10.0
R910 2.11.0
T710 6.5.0
M610、M610X 6.5.0
M710 6.5.0
M710HD 8.3.1
M910 2.11.0
C1100 3B24
C2100 3B24
C5220 2.2.0
C6100 1.80
R415 2.4.1
R515 2.4.1
R715 3.4.1
R815 3.4.1
M915 3.3.1
C6105 2.6.0
C6145 3.6.0
*** 11G NXシリーズのプラットフォームでは、パッケージ化されていないアップデートを使用してBIOSをアップデートするのみ。

 

モデル BIOSのバージョン
DSS9600、DSS9620、DSS9630 1.3.7
DSS1500、DSS1510、DSS2500 2.7.1
DSS7500 2.7.1
モデル BIOS/Firmware/Driverのバージョン
OS10 Basic VM 準備中
OS10 Enterprise VM 準備中
S OS-Emulator 準備中
Z OS-Emulator 準備中
S3048-ON OS10 Basic 準備中
S4048-ON OS10 Basic 準備中
S4048T-ON OS10 Basic 準備中
S6000-ON OS Basic 準備中
S6010-ON OS10 Basic 準備中
Z9100 OS10 Basic 準備中
 
ネットワーキング - 固定ポートスイッチ
プラットフォーム BIOS/Firmware/Driverのバージョン
Mellanox SB7800シリーズ、SX6000シリーズ Mellanoxではリリースされたパッチを慎重に調査中で、可能になり次第ソフトウェアアップデートをリリースする予定。ベンダーのステートメント
モデル BIOS/Firmware/Driverのバージョン
W-3200、W-3400、W-3600、W-6000、W-620、W-650、W-651 リンク- ログインが必要
W-7005、W-7008、W-7010、W-7024、W-7030、W-7200シリーズ、W-7205 リンク- ログインが必要
W-AP103、W-AP103H、W-AP105、W-AP114、W-AP115、W-AP124、W-AP125、W-AP134、W-AP135、W-AP175 リンク- ログインが必要
W-AP204、W-AP205、W-AP214、W-AP215、W-AP224、W-AP225、W-AP274、W-AP275 リンク- ログインが必要
W-AP68、W-AP92、W-AP93、W-AP93H リンク- ログインが必要
W-IAP103、W-IAP104、W-IAP105、W-IAP108、W-IAP109、W-IAP114、W-IAP115、W-IAP134、W-IAP135 リンク- ログインが必要
W-IAP155、W-IAP155P、W-IAP175P、W-IAP175AC、W-IAP204、W-IAP205、W-IAP214、W-IAP215 リンク- ログインが必要
W-IAP-224、W-IAP225、W-IAP274、W-IAP275、W-IAP3WN、W-IAP3P、W-IAP92、W-IAP93 リンク- ログインが必要
Wシリーズ・アクセス・ポイント - 205H、207、228、277、304、305、314、315、324、325、334、335 リンク- ログインが必要
WシリーズコントローラAOS リンク- ログインが必要
WシリーズFIPS リンク- ログインが必要
モデル BIOS/Firmware/Driverのバージョン
W-Airwave リンク- ログインが必要 - ハイパーバイザに適切なパッチがあることを確認
W-ClearPassのハードウェアアプライアンス リンク- ログインが必要
W-ClearPassの仮想アプライアンス リンク- ログインが必要 - ハイパーバイザに適切なパッチがあることを確認
W-ClearPass 100 Software リンク- ログインが必要


その他のデル製品用アップデート

外部参照資料

OSパッチに関するガイダンス

パフォーマンスに関するリンク



よくあるお問い合わせ(FAQ)


質問: この脆弱性に対しどのように予防すればいいでしょうか?
回答: MeltdownおよびSpectreに関連する脆弱性は3件あります。3件の脆弱性すべてについてOSベンダーが配布するOSパッチを適用してください。Spectreバリアント2(CVE-2017-5715)のみプロセッサーベンダーが提供するマイクロコードを搭載したBIOSアップデートが必要です。現在、インテルからSpectreバリアント2の脆弱性を保護するマイクロコードアップデートは公開されていません。

次の表を参照してください。
 

パッチを適用するバリアント

マイクロコードアップデートの要/不要

OSパッチの要/不要

Spectre(バリアント1)
CVE-2017-5753

いいえ

はい

Spectre(バリアント2)
CVE-2017-5715

はい

はい

Meltdown(バリアント3)
CVE-2017-5754

いいえ

はい


質問: OSパッチのアップデートに関する推奨事項はありますか?
回答: OSベンダーのパッチガイダンスリンクを参照してください。

質問: Dell EMCは影響を受けないEnterprise製品一覧を公開していますか?
回答: Dell EMCは現在影響を受けないEnterprise製品一覧を公開しています。こちらを参照してください。

質問: 仮想サーバを稼動している場合どうすればいいでしょうか?
回答: ハイパーバイザおよびすべてのゲストOSにパッチを適用する必要があります。

質問: インターネットブラウザが影響を受ける可能性はありますか(JavaScriptバリアント2の悪用)?
回答: あります。Spectreの脆弱性によりインターネットブラウザが影響される可能性があります。ブラウザの多くはこの脆弱性の可能性を軽減するため、バージョンアップデートやパッチを提供しています。詳細についてはChrome、Internet Explorer、Mozillaに関する次のリンクを参照してください。

質問: iDRACおよびPERCは影響を受けますか?
回答: PERCおよびiDRACはいずれもクローズシステムなので、サードパーティ(ユーザ)コードを実行できません。SpectreおよびMeltdownはどちらもプロセッサーで任意のコードを実行する必要があります。このクローズコード配列により、いずれの周辺機器もサイドチャネル解析によってマイクロプロセッサーが悪用されるリスクがありません。

質問: アプライアンスは影響を受けますか? 影響を受けないその他のアプライアンスはありますか?
回答: サードパーティ(ユーザ)コードを実行できないクローズシステムには脆弱性がありません。

質問: AMD Opteronプロセッサーは影響を受けますか?
回答: https://www.amd.com/en/corporate/speculative-execution.
質問: インテル・ベース・システム用マイクロコードアップデートが搭載されたBIOSはいつDell EMCから提供されますか?
回答: PowerEdge 14G、13G、12G、および一部の11Gシステムで、インテルのマイクロコード・セキュリティ・アップデートを含むアップデート済みBIOSが使用可能です。
  • 使用可能なPowerEdge 11G、12G、13G、および14GのBIOSアップデートのリストは、こちらを参照してください。
  •  ここに含まれない11Gのアップデートも現在開発中です。時期が近づいたら、予定を公表します。
  • 公開されているPowerEdgeシステム用BIOSアップデートの完全な一覧は、ここで公開される予定です。この一覧は追加のBIOSバージョンが公開され次第、常にアップデートされるので、このページをブックマークすることをお勧めします。

質問: PowerEdgeテクノロジー(VXRailなど)を搭載した集約型インフラストラクチャ用のBIOSはいつ提供されますか?
回答: Dell EMCはPowerEdgeテクノロジーを搭載したすべての集約型インフラストラクチャプラットフォームについて、既存のPowerEdgeコードアップデートを検証中です。追加情報が発生したときに新情報を提供します。

質問: Dell EMCは今後、PowerEdgeサーバおよび集約型インフラストラクチャのオペレーティングシステムおよびハイパーバイザパッチを工場出荷時にインストールしますか?
回答: 2018年3月6日現在、デルは、SpectreおよびMeltdown脆弱性を軽減するために、次のバージョンのOSアップデートを工場出荷時にインストールしています。  これらは、(すべて有効にすると)最高度の保護を設定できます(可能な場合)。  場合によっては、さらに新しいアップデートがベンダーから提供されます。  今後もOSベンダーのWebサイトで、特定の設定ガイダンスやより新しいアップデートや設定オプションが利用可能になっていないか、確認し続けてください。  
  • Windows Server 2016: KB4056890                (2018年1月4日リリース)
  • RedHat Enterprise Linux 7.4: kernel-3.10.0-693.11.6.el7.x86_64               (2018年1月4日リリース)
  • SuSE Linux Enterprise Server 12 SP3: kernel-default-4.4.103-6.38.1.x86_64                (2018年1月4日リリース)
  • VMware ESXi 6.5U1: Rev A08ビルド7388607                (VMSA-2018-002パッチを含む)
  • VMWare ESXi 6.0U3: Rev A08ビルド6921384                (VMSA-2018-002パッチを含む)

質問: この脆弱性には10年間以上前のマイクロプロセッサーが影響されると聞きました。BIOSアップデートはどこまで対応されますか?
回答: 11世代製品ラインのPowerEdgeシステムまで必要なマイクロコードパッチを搭載したBIOSを提供できるよう、デルはインテルと協力しています。セキュリティ修正プログラム用のマイクロコードアップデートが含まれるBIOSアップデートは、影響を受けるプロセッサーベンダーがDell EMCにコードアップデートを提供するかにもとづきます。

質問: 保証外のシステムにもテクニカルサポートは提供されますか?
回答: 有効なサポート契約がないDell EMC PowerEdgeサーバにはテクニカルサポートは提供されません。現在のサポート契約ステータスにかかわらず、Dellサポートにアクセスして、公開されているサポート文書を入手することができます。

質問: 保証外のシステムにもパッチは提供されますか?
回答: Dell EMC PowerEdgeサーバ製品の有効なサポート契約がなくても、サポートおよびダウンロードページにアクセスできます。PowerEdgeサーバのBIOSアップデートは、現在のサポート契約ステータスにかかわらず、すべてのユーザがDell EMCサポートサイトから入手できます。BIOSの提供については、このBIOSセクションを参照してください。OSパッチはOSプロバイダから入手してください。リンクはこちらです。

質問: 新しいAMD EPYCプロセッサーは影響を受けますか?
回答: Meltdown(CVE-2017-5754)、Spectreバリアント1(CVE-2017-5753)、およびSpectreバリアント2(CVE-2017-5715)のAMDによる声明については(AMDプロセッサーに関連しているため)、https://www.amd.com/en/corporate/speculative-executionを参照してください。
Spectreバリアント1(CVE-2017-5753)については、該当OSパッチを適用することで、問題を解決できます。

質問: Spectreに影響されるAMD EYPCベースPowerEdgeシステムのBIOSアップデートはいつ提供されますか?
回答: 14Gプラットフォーム(R7425、R7415、R6415)のBIOSアップデートはリリース済みです。アップデートは製品サポートページから入手できます。このBIOSの出荷時インストールは2018年1月17日に提供されました。

質問: インテルのマイクロコードアップデートが搭載されたBIOSは、いつからインテルベースのPowerEdgeシステムの工場出荷時にインストールされますか?  
回答: 工場出荷時のインストールとしてPowerEdge 14Gおよび13G(R930を除く)BIOSを提供できるようにするのは、2018年3月6日が目標です。  工場出荷時のインストールとしてPowerEdge R930 BIOSを提供できるようにするのは、2018年3月9日が目標です。
質問: このBIOSおよびOSアップデートによるパフォーマンスへの影響はありますか?
回答: この攻撃の主な側面はパフォーマンスに関連する機能である、投機的実行に依存します。この機能はワークロードに強く依存するため、パフォーマンスへの影響はさまざまです。デルではインテルおよびその他のベンダーと協力して、アップデートによるパフォーマンスへの影響を調査中です。結果が出次第、公表します。



Need more help?
Find additional PowerEdge and PowerVault articles

Visit and ask for support in our Communities

Create an online support Request


 

記事ID: SLN308588

最終更新日: 2018/12/04 17:45


この記事を評価する

正確
有益
分かりやすい
この記事は役に立ちましたか?
はい いいえ
フィードバックをお寄せください
コメントでは、以下の特殊文字は利用できません: <>()\
申し訳ありませんが、フィードバックのシステムは現在ご利用いただけません。後でもう一度試してください。

フィードバックをありがとうございます。