マイクロプロセッサー サイドチャネル脆弱性(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754):デル・テクノロジーズのサーバー、ストレージ、ネットワーキングへの影響
Summary: サーバー、ストレージ、ネットワーキング製品のサイドチャネル分析の脆弱性(MeltdownおよびSpectreとも呼ばれる)のリスク軽減と解決に関するデル・テクノロジーズのガイダンス。 影響を受けるプラットフォームに関する具体的な情報と、アップデートを適用するための次のステップについては、このガイドを参照してください。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
2018/11/21
デル・テクノロジーズでは、今後のアップデートが適用されるまで、マルウェア対策全般に関するセキュリティ のベスト プラクティス に従って、これらの分析方法が悪用される可能性から保護することをお勧めします。これらのプラクティスには、早急なソフトウェアアップデートの適用、不明なハイパーリンクやWebサイトの回避、権限アカウントへのアクセス保護、およびセキュアなパスワードプロトコルの使用が含まれます。
PowerEdgeサーバ製品用システム管理
質問:デル・テクノロジーズは、影響を受けないエンタープライズ製品のリストを公開していますか
答え: デル・テクノロジーズには、影響を受けないエンタープライズ製品のリストがあります。「これら3つのCVE脆弱性に対するパッチや修正は必要ないDell製品」セクションを参照してください
質問: 仮想サーバーを稼動している場合どうすればいいでしょうか?
回答:ハイパーバイザーとすべてのゲスト オペレーティング システムの両方をアップデートする必要があります。
質問: インターネット ブラウザーが影響を受ける可能性はありますか? (JavaScriptバリアント2の悪用)?
回答:はい、インターネット ブラウザーはSpectreの脆弱性の影響を受ける可能性があり、ほとんどのブラウザーは、この潜在的な脆弱性を軽減するためにアップデートされたバージョンまたはパッチを提供しています。詳細については、Chrome、Internet Explorer、Mozillaに関する以下のリンクを参照してください。
質問:iDRACおよびPERCは影響を受けますか?
回答:PERCとiDRACはどちらも、サード パーティー(ユーザー)コードを実行できないクローズ システムです。SpectreおよびMeltdownはどちらもプロセッサーで任意のコードを実行する必要があります。このクローズ コード配列により、いずれの周辺機器もサイドチャネル解析によってマイクロプロセッサーが悪用されるリスクがありません。
質問:アプライアンスについてはどうですか?影響を受けない他のアプリケーションはありますか
答え: サード パーティー(ユーザー)コードの実行を許可しないクローズド システムには脆弱性はありません
質問: AMD Opteronプロセッサーはどうですか
回答: https://www.amd.com/en/corporate/speculative-execution。
質問:PowerEdgeテクノロジー(VXRailなど)で実行されているコンバージド インフラストラクチャのBIOSはいつ利用可能になりますか?
回答: デル・テクノロジーズは、PowerEdgeテクノロジーで実行されているすべての集約型インフラストラクチャ プラットフォームについて、既存のPowerEdgeコード アップデートの検証に取り組んでいます。追加情報が利用可能になり次第、アップデートが提供されます。
質問: デル・テクノロジーズは、PowerEdgeサーバーおよびコンバージド インフラストラクチャ用のオペレーティング システムとハイパーバイザーのパッチを工場出荷時にインストールする予定です
答え: 2018年3月6日現在、Dellでは、Spectre/Meltdown脆弱性を軽減するために、次のバージョンのオペレーティング システム アップデートを工場出荷時にインストールしています。これらは、(すべて有効にすると)最高度の保護を設定できます(可能な場合)。場合によっては、ベンダーによって提供される新しいアップデートがあります。 オペレーティング システム ベンダーのWebサイトで、特定の構成ガイダンスと新しいアップデートおよび構成オプションが利用可能になったら、引き続き確認してください。
質問:この脆弱性は、少なくとも10年前にさかのぼってマイクロプロセッサに影響を与えると聞いています。BIOSアップデートは,Dellではどこまで対応されますか?
回答:第11世代製品ラインまでさかのぼってPowerEdgeシステム用に必要なマイクロコード パッチを含むBIOSを提供できるように、Dellはインテルと協力して作業中です。セキュリティ修正のためのマイクロコード アップデートを含むBIOSアップデートは、デル・テクノロジーズにコード アップデートを提供している影響を受けるプロセッサー ベンダーに依存します
質問: デル・テクノロジーズは、保証対象外のシステムに対してテクニカル サポートを提供します
答え: 有効なサポート契約がないDell Technologies PowerEdgeサーバーについては、デル・テクノロジーズはテクニカル サポートを提供しません。お客様は、現在のサポート契約のステータスにかかわらず、Dellサポートにアクセスして、公開されているサポート文書を入手することができます。
質問:デル・テクノロジーズは保証対象外のシステム用のパッチを提供します
答え: Dell Technologies PowerEdgeサーバー製品は、有効なサポート契約がなくても、サポート ページおよびダウンロード ページにアクセスできます。PowerEdgeサーバーのBIOSアップデートは、現在のサポート契約ステータスに関係なく、すべてのユーザーがデル・テクノロジーズ サポート サイトで入手できます。BIOSの可用性については、 BIOSセクション「PowerEdgeサーバーおよびネットワーキング製品のBIOS/ファームウェア/ドライバーのアップデート」を参照してください。オペレーティング システム パッチは、オペレーティング システム プロバイダーから取得する必要があります。 オペレーティング システム パッチ ガイダンス セクションのリンクを参照してください。
質問: 新しいAMD EPYCプロセッサーは影響を受けますか?
回答:AMDプロセッサーに関連するMeltdown(CVE-2017-5754)、スペクター バリアント1(CVE-2017-5753)、スペクター バリアント2(CVE-2017-5715)に関するAMDの公式声明については、 https://www.amd.com/en/corporate/speculative-execution.
を参照してください。スペクター バリアント1(CVE-2017-5753)については、該当するオペレーティング システム パッチでこの問題に対処します。
質問: Spectreに影響されるAMD EYPCベースPowerEdgeシステムのBIOSアップデートはいつ提供されますか?
回答:14Gプラットフォーム(R7425、R7415、R6415)のBIOSアップデートはDell EMCからリリース済みです。これらのBIOSアップデートはデル・テクノロジーズの製品サポート ページから入手できます。これらのBIOSの工場出荷時インストールは、2018年1月17日に利用可能になりました。
質問: インテルのマイクロコード アップデートを含むBIOSは、いつからインテル ベースのPowerEdgeシステムに工場出荷時にインストールされますか?
回答:PowerEdge 14Gおよび13G(R930を除く)のBIOSは、2018年3月6日の工場出荷時インストールで利用可能になる予定です。 PowerEdge R930のBIOSは、2018年3月9日までに工場出荷時インストールで使用できるようになることを目標としています。
CVE ID:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
デル・テクノロジーズは、2018年1月3日にセキュリティ調査チームによって報告された、多くの最新マイクロプロセッサーに影響を与えるサイドチャネル解析の脆弱性( 別名:MeltdownおよびSpectre) を認識しています。詳細情報については参照資料の項のセキュリティ勧告を参照することを推奨します。
メモ: パッチ ガイダンス(更新2018年2月8日):
デル・テクノロジーズは、1月22日に発行された アドバイザリー に従って、インテルから新しいマイクロコードを受け取りました。デル・テクノロジーズは、スペクター(バリアント2)CVE-2017-5715に対処するため、影響を受けるプラットフォームに対して新しいBIOSアップデートを公開します。製品の表をアップデートしました。また、今後インテルがマイクロコードをリリースするたびにアップデートされる予定です。お使いの製品にアップデートされたBIOSがリストされている場合は、そのBIOSにアップグレードし、適切なオペレーティング システム アップデートを適用して、MeltdownとSpectreを軽減することをお勧めします。
お使いの製品にアップデートされたBIOSがない場合でも、デル・テクノロジーズでは、以前にリリースされたBIOSアップデートを導入せずに、アップデート バージョンを待つことをお勧めします
インテルの1月22日のアドバイザリで問題が発生する可能性のあるBIOSアップデートをすでに導入している場合は、予期しないシステム動作を回避するために、以前のバージョンのBIOSに戻すことができます。以下の表を確認してください。
なお、オペレーティング システムのパッチには影響はなく、引き続きSpectre(バリアント1)およびMeltdown(バリアント3)の軽減に有効です。マイクロコードのアップデートが必要なのは、スペクター(バリアント2)、CVE-2017-5715のみです。
デル・テクノロジーズは、1月22日に発行された アドバイザリー に従って、インテルから新しいマイクロコードを受け取りました。デル・テクノロジーズは、スペクター(バリアント2)CVE-2017-5715に対処するため、影響を受けるプラットフォームに対して新しいBIOSアップデートを公開します。製品の表をアップデートしました。また、今後インテルがマイクロコードをリリースするたびにアップデートされる予定です。お使いの製品にアップデートされたBIOSがリストされている場合は、そのBIOSにアップグレードし、適切なオペレーティング システム アップデートを適用して、MeltdownとSpectreを軽減することをお勧めします。
お使いの製品にアップデートされたBIOSがない場合でも、デル・テクノロジーズでは、以前にリリースされたBIOSアップデートを導入せずに、アップデート バージョンを待つことをお勧めします
インテルの1月22日のアドバイザリで問題が発生する可能性のあるBIOSアップデートをすでに導入している場合は、予期しないシステム動作を回避するために、以前のバージョンのBIOSに戻すことができます。以下の表を確認してください。
なお、オペレーティング システムのパッチには影響はなく、引き続きSpectre(バリアント1)およびMeltdown(バリアント3)の軽減に有効です。マイクロコードのアップデートが必要なのは、スペクター(バリアント2)、CVE-2017-5715のみです。
上記の脆弱性を軽減するには、次の2つの重要なコンポーネントを適用する必要があります。
該当するハイパーバイザ/OSベンダーのセキュリティ勧告を確認することをお勧めします。以下の「参考資料」セクションには、これらのベンダーの一部へのリンクが含まれています。デル・テクノロジーズでは、今後のアップデートが適用されるまで、マルウェア対策全般に関するセキュリティ のベスト プラクティス に従って、これらの分析方法が悪用される可能性から保護することをお勧めします。これらのプラクティスには、早急なソフトウェアアップデートの適用、不明なハイパーリンクやWebサイトの回避、権限アカウントへのアクセス保護、およびセキュアなパスワードプロトコルの使用が含まれます。
これら3つのCVE脆弱性に対するパッチまたは修正が不要なデル製品
|
Dell Storage製品ライン
|
評価
|
| Dell™ EqualLogic PSシリーズ | この製品に搭載されたCPUには、投機的実行が実装されていないため、このハードウェアには脆弱性が該当しません。 |
| Dell EMC SCシリーズ(Dell Compellent) | 外部コードをロードするためのプラットフォーム オペレーティング システムへのアクセスは制限されています。悪意のあるコードを実行することはできません。 |
| Dell Storage MD3およびDSMS MD3シリーズ | 外部コードをロードするためのプラットフォーム オペレーティング システムへのアクセスは制限されています。悪意のあるコードを実行することはできません。 |
| Dell PowerVaultテープ ドライブおよびライブラリー | 外部コードをロードするためのプラットフォーム オペレーティング システムへのアクセスは制限されています。悪意のあるコードを実行することはできません。 |
| Dell Storage FluidFSシリーズ(FS8600、FS7600、FS7610、FS7500、NX3600、NX3610、NX3500など) | 外部コードをロードするためのプラットフォーム オペレーティング システムへのアクセスは、特権アカウントのみに制限されています。 権限アカウントへのアクセス保護に関する推奨されるベストプラクティスに従っていることを前提として、悪意のあるコードを実行することができません。 |
|
Dell Storage仮想アプライアンス
|
評価
|
| Dell Storage Manager仮想アプライアンス(DSM VA - Dell Compellent) | この仮想アプライアンスでは、一般ユーザがアクセスできません。 シングルユーザおよびルートユーザに限定されているため、環境にその他のセキュリティリスクが発生する可能性がありません。 ホストシステムおよびハイパーバイザを保護する必要があります。前述記のベンダーリンクおよびベストプラクティスに関する声明を参照してください。 |
| Dell Storage Integration Tools for VMware(Dell Compellent) | |
| Dell EqualLogic Virtual Storage Manager(VSM - EqualLogic) |
PowerEdgeサーバ製品用システム管理
|
コンポーネント
|
評価
|
|
iDRAC:14G、13G、12G、11G
|
影響なし
iDRACは、外部のサード パーティー コードの実行を許可しないクローズ システムです。 |
|
Chassis Management Controller (CMC)14G、13G、12G、11G
|
影響なし
CMCは、外部のサード パーティー コードの実行を許可しないクローズ システムです。 |
| プラットフォーム | 評価 |
| Dell 10Gbイーサネットパススルー |
これらの製品は、シングルユーザおよびルートユーザに限定されたアプライアンスです。高度な権限アカウントのアクセス保護に関して推奨されるベストプラクティスに従っていることを前提として、報告された問題によってお客さまの環境にそれ以上のセキュリティリスクが発生する可能性はありません。
|
| Dell 10Gb-Kイーサネットパススルー | |
| Dellイーサネットパススルー | |
| FC8パススルー | |
| Force10 MXL Blade | |
| PowerConnect M6220 | |
| PowerConnect M6348 | |
| PowerConnect M8024 | |
| PowerConnect M8024-K |
| プラットフォーム | 評価 |
| Brocade M5424、M6505、M8428-k | ベンダーのステートメント |
| Cisco Catalyst 3032、3130、3130G、3130X | ベンダーのステートメント |
| Cisco Catalyst Nexus B22 Dell Blade Fabric Extender | ベンダーのステートメント |
| プラットフォーム | 評価 |
| C1048P、C9010 |
これらの製品は、シングルユーザおよびルートユーザに限定されたアプライアンスです。高度な権限アカウントのアクセス保護に関して推奨されるベストプラクティスに従っていることを前提として、報告された問題によってお客さまの環境にそれ以上のセキュリティリスクが発生する可能性はありません。 |
| M I/Oアグリゲータ | |
| MXL | |
| FX2 | |
| N11xx、N15xx、N20xx、N30xx、 | |
| N2128PX、N3128PX | |
| S55、S60 | |
| S3048-On OS9、S3048-on OS10 Enterprise、S3100、S3124F、S3124P、S3148P | |
| S4048、S4048-ON OS9、S4048-ON OS10 Enterprise、S4048T-ON OS9、S4048T-ON OS10 Enterprise | |
| S4128F-ON、S4148F-ON、S4128T-ON、S4148T-ON、S4148U-ON、S4148FE-ON、S4148FB、S4248FBL | |
| S5048、S5048F-ON、S5148F | |
| S6000、S6000-ON OS9、S6010-ON OS9、S6010-ON OS10 Enterprise、S6100-ON | |
| SIOM | |
| Z9000、Z9100 OS9、Z9100 OS10 Enterprise |
| プラットフォーム | 評価 |
| PowerConnect 2016、2124、2216、2224、2324、2508、2608、2616、2624 |
これらの製品は、シングルユーザおよびルートユーザに限定されたアプライアンスです。高度な権限アカウントのアクセス保護に関して推奨されるベストプラクティスに従っていることを前提として、報告された問題によってお客さまの環境にそれ以上のセキュリティリスクが発生する可能性はありません。 |
| PowerConnect 2708、2716、2724、2748、2808、2816、2824、2848 | |
| PowerConnect 3024、3048、3248、3324、3348 | |
| PowerConnect 3424、3424P、3448、3448P、3524、3524P、3548、3548P | |
| PowerConnect 5012、5212、5224、5316M、5324、5424、5448、5524、5524P、5548、5548P | |
| PowerConnect 6024、6024F、6224、6224F、6224P、6248、6248P | |
| PowerConnect 7024、7024F、7024P、7048、7048P、7048R | |
| PowerConnect 8024、8024F、8100シリーズ | |
| PowerConnect B-8000、B-8000e、B-FCXs、B-T124X | |
| PowerConnect J-EX4200、J-EX4200-24F、J-EX4200-24t、J-EX4200-48t、J-EX4500 | |
| PowerConnect J-SRX100、J-SRX210、SRX240 | |
| C9000シリーズのラインカード |
| プラットフォーム | 評価 |
| Brocade 300、4424 Switch Fi、5100、5300 | ベンダーのステートメント |
| Brocade 6505、6510、6520、G620 | ベンダーのステートメント |
| Cisco Catalyst 3750E-48TD、4900M、4948-10GE | ベンダーのステートメント |
| プラットフォーム | 評価 |
| Active Fabric Controller | ソフトウェアへの影響なし |
| Active Fabric Manager | ソフトウェアへの影響なし |
| Dell Networking vCenterプラグイン | ソフトウェアへの影響なし |
| Dell OpenManage Network Manager | ソフトウェアへの影響なし |
| Open Automation | ソフトウェアへの影響なし |
| ソフトウェア定義型ネットワーキング | ソフトウェアへの影響なし |
メモ: 次の表は、BIOS/ファームウェア/ドライバーのガイダンスが用意されている製品のリストです。この情報は、追加情報が入手可能になると更新されます。お使いのプラットフォームが表示されない場合は、後で確認してください
サーバーBIOSは iDRACを使用してアップデートできます。詳細については、Dellナレッジベース記事「 Integrated Dell Remote Access Controller (iDRAC) Webインターフェイスを使用して、または オペレーティング システムから直接ファームウェアをアップデートする方法」を参照してください。また、詳細については、Dellナレッジベース記事「 Dell PowerEdgeドライバーまたはファームウェアをOSから直接アップデートする方法(WindowsおよびLinux)」を参照してください
その他の方法については、Dellナレッジベース記事「 Dell PowerEdgeサーバーのファームウェアおよびドライバーのアップデート」を参照してください
これらは、最低限必要なBIOSバージョンです。
サーバーBIOSは iDRACを使用してアップデートできます。詳細については、Dellナレッジベース記事「 Integrated Dell Remote Access Controller (iDRAC) Webインターフェイスを使用して、または オペレーティング システムから直接ファームウェアをアップデートする方法」を参照してください。また、詳細については、Dellナレッジベース記事「 Dell PowerEdgeドライバーまたはファームウェアをOSから直接アップデートする方法(WindowsおよびLinux)」を参照してください
その他の方法については、Dellナレッジベース記事「 Dell PowerEdgeサーバーのファームウェアおよびドライバーのアップデート」を参照してください
これらは、最低限必要なBIOSバージョンです。
PowerEdgeサーバおよびネットワーキング製品のBIOS/ファームウェア/ドライバのアップデート
| 世代 | モデル | BIOSのバージョン |
| 13G | R830 | 1.7.1 |
| T130、R230、T330、R330、NX430 | 2.4.3 | |
| R930 | 2.5.1 | |
| R730、R730XD、R630、NX3330、NX3230、DSMS630、DSMS730、XC730、XC703XD、XC630 | 2.7.1 | |
| C4130 | 2.7.1 | |
| M630、M630P、FC630 | 2.7.1 | |
| FC430 | 2.7.1 | |
| M830、M830P、FC830 | 2.7.1 | |
| T630 | 2.7.1 | |
| R530、R430、T430、XC430、XC430Xpress | 2.7.1 | |
| R530XD | 1.7.0 | |
| C6320、XC6320 | 2.7.1 | |
| C6320P | 2.0.5 | |
| T30 | 1.0.12 |
| 世代 | モデル | BIOSのバージョン |
| 12G | R920 | 1.7.1 |
| R820 | 2.4.1 | |
| R520 | 2.5.1 | |
| R420 | 2.5.1 | |
| R320、NX400 | 2.5.1 | |
| T420 | 2.5.1 | |
| T320 | 2.5.1 | |
| R220 | 1.10.2 | |
| R720、R720XD、NX3200、XC720XD | 2.6.1 | |
| R620、NX3300 | 2.6.1 | |
| M820 | 2.6.1 | |
| M620 | 2.6.1 | |
| M520 | 2.6.1 | |
| M420 | 2.6.1 | |
| T620 | 2.6.1 | |
| FM120x4 | 1.7.0 | |
| T20 | A16 | |
| C5230 | 1.3.1 | |
| C6220 | 2.5.5 | |
| C6220II | 2.8.1 | |
| C8220、C8220X | 2.8.1 |
| 世代 | モデル | BIOSのバージョン |
| 11G | R710 | 6.5.0 |
| NX3000 | 6.6.0*** | |
| R610 | 6.5.0 | |
| T610 | 6.5.0 | |
| R510 | 1.13.0 | |
| NX3100 | 1.14.0*** | |
| R410 | 1.13.0 | |
| NX300 | 1.14.0*** | |
| T410 | 1.13.0 | |
| R310 | 1.13.0 | |
| T310 | 1.13.0 | |
| NX200 | 1.14.0*** | |
| T110 | 1.11.1 | |
| T110-II | 2.9.0 | |
| R210 | 1.11.0 | |
| R210-II | 2.9.0 | |
| R810 | 2.10.0 | |
| R910 | 2.11.0 | |
| T710 | 6.5.0 | |
| M610、M610X | 6.5.0 | |
| M710 | 6.5.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.11.0 | |
| C1100 | 3B24 | |
| C2100 | 3B24 | |
| C5220 | 2.2.0 | |
| C6100 | 1.80 | |
| R415 | 2.4.1 | |
| R515 | 2.4.1 | |
| R715 | 3.4.1 | |
| R815 | 3.4.1 | |
| M915 | 3.3.1 | |
| C6105 | 2.6.0 | |
| C6145 | 3.6.0 |
メモ: *** 11G NXシリーズのプラットフォームでは、パッケージ化されていないアップデートを使用してBIOSをアップデートするのみ。
| モデル | BIOS/Firmware/Driverのバージョン |
| OS10 Basic VM | プロセス中 |
| OS10 Enterprise VM | プロセス中 |
| S OS-Emulator | プロセス中 |
| Z OS-Emulator | プロセス中 |
| S3048-ON OS10 Basic | プロセス中 |
| S4048-ON OS10 Basic | プロセス中 |
| S4048T-ON OS10 Basic | プロセス中 |
| S6000-ON OS Basic | プロセス中 |
| S6010-ON OS10 Basic | プロセス中 |
| Z9100 OS10 Basic | プロセス中 |
ネットワーキング - 固定ポートスイッチ
| プラットフォーム | BIOS/Firmware/Driverのバージョン |
| Mellanox SB7800シリーズ、SX6000シリーズ | Mellanoxは、リリースされたパッチを慎重に調査しており、利用可能になり次第ソフトウェア アップデートをリリースします。ベンダーのステートメント |
| モデル | BIOS/Firmware/Driverのバージョン |
| W-3200、W-3400、W-3600、W-6000、W-620、W-650、W-651 | リンク - ログインが必要です。 |
| W-7005、W-7008、W-7010、W-7024、W-7030、W-7200シリーズ、W-7205 | リンク - ログインが必要です。 |
| W-AP103、W-AP103H、W-AP105、W-AP114、W-AP115、W-AP124、W-AP125、W-AP134、W-AP135、W-AP175 | リンク - ログインが必要です。 |
| W-AP204、W-AP205、W-AP214、W-AP215、W-AP224、W-AP225、W-AP274、W-AP275 | リンク - ログインが必要です。 |
| W-AP68、W-AP92、W-AP93、W-AP93H | リンク - ログインが必要です。 |
| W-IAP103、W-IAP104、W-IAP105、W-IAP108、W-IAP109、W-IAP114、W-IAP115、W-IAP134、W-IAP135 | リンク - ログインが必要です。 |
| W-IAP155、W-IAP155P、W-IAP175P、W-IAP175AC、W-IAP204、W-IAP205、W-IAP214、W-IAP215 | リンク - ログインが必要です。 |
| W-IAP-224、W-IAP225、W-IAP274、W-IAP275、W-IAP3WN、W-IAP3P、W-IAP92、W-IAP93 | リンク - ログインが必要です。 |
| Wシリーズ・アクセス・ポイント - 205H、207、228、277、304、305、314、315、324、325、334、335 | リンク - ログインが必要です。 |
| WシリーズコントローラAOS | リンク - ログインが必要です。 |
| WシリーズFIPS | リンク - ログインが必要です。 |
その他のデル製品用アップデート
- デル・テクノロジーズ製品(デル・テクノロジーズ ストレージ製品): https://support.emc.com/kb/516117 (ログインが必要)
- マイクロプロセッサー サイドチャネル脆弱性(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754):Dell製品への影響
- マイクロプロセッサーのサイドチャネル脆弱性「Meltdown」および「Spectre」(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754): Dellデータ セキュリティ ソリューションへの影響
- RSA製品: https://community.rsa.com/docs/DOC-85418(要ログイン)
- デル・テクノロジーズ製品のコンバージド プラットフォームおよびソリューション部門: http://support.vce.com/kA2A0000000PHXB (ログインが必要)
外部参照資料
- インテル・セキュリティ・アドバイザリ: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
- AMDアドバイザリ: http://www.amd.com/en/corporate/speculative-execution
- マイクロソフトアドバイザリ: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- VMware: https://kb.vmware.com/s/article/52245
- Nutanix:『Nutanix Security Advisory #07』(Nutanix Support Portalのログインが必要)
- Google Project Zeroのブログ投稿: https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
- 調査報告書: https://meltdownattack.com
オペレーティング システム パッチ ガイダンス
- Microsoft: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
- VMware: https://www.vmware.com/security/advisories/VMSA-2018-0002.html
- Red Hat Software: https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SUSE: https://www.suse.com/support/kb/doc/?id=7022512
- Ubuntu: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
- Citrix: https://support.citrix.com/article/CTX231390
パフォーマンスに関するリンク
- 2ソケット インテル Xeon Platinum 81xxプロセッサーにおけるインテル アップデートとパッチ未適用のパフォーマンス比較 - https://newsroom.intel.com/news/firmware-updates-and-initial-performance-data-for-data-center-systems/
- Red Hat Software: https://access.redhat.com/articles/3307751、 および https://access.redhat.com/articles/3311301
- SuSe: https://www.suse.com/c/meltdown-spectre-performance/
よくあるお問い合わせ(FAQ)
質問:この脆弱性に対しどのように予防すればいいでしょうか?
回答:MeltdownおよびSpectreに関連する脆弱性は3件あります。お客様は、3つの脆弱性すべてに対して、オペレーティング システム ベンダーからオペレーティング システム パッチを適用する必要があります。スペクター バリアント2(CVE-2017-5715)のみ、プロセッサー ベンダーが提供するマイクロコードを使用したBIOSアップデートが必要です。現在、インテルはスペクター バリアント2の脆弱性から保護するためのマイクロコード アップデートをまだ提供していません
次の表を参照してください。
質問:オペレーティング システム パッチのアップデートに関するデル・テクノロジーズの現在の推奨事項は何ですか
答え: オペレーティング システム ベンダーのパッチ ガイダンスのリンクを参照してください。
回答:MeltdownおよびSpectreに関連する脆弱性は3件あります。お客様は、3つの脆弱性すべてに対して、オペレーティング システム ベンダーからオペレーティング システム パッチを適用する必要があります。スペクター バリアント2(CVE-2017-5715)のみ、プロセッサー ベンダーが提供するマイクロコードを使用したBIOSアップデートが必要です。現在、インテルはスペクター バリアント2の脆弱性から保護するためのマイクロコード アップデートをまだ提供していません
次の表を参照してください。
|
パッチを適用するバリアント |
マイクロコードアップデートの要/不要 |
オペレーティング システムのパッチが必要か? |
|
Spectre(バリアント1) |
No |
Yes |
|
Spectre(バリアント2) |
Yes |
Yes |
|
メルトダウン(バリアント3) |
No |
Yes |
質問:オペレーティング システム パッチのアップデートに関するデル・テクノロジーズの現在の推奨事項は何ですか
答え: オペレーティング システム ベンダーのパッチ ガイダンスのリンクを参照してください。
質問:デル・テクノロジーズは、影響を受けないエンタープライズ製品のリストを公開していますか
答え: デル・テクノロジーズには、影響を受けないエンタープライズ製品のリストがあります。「これら3つのCVE脆弱性に対するパッチや修正は必要ないDell製品」セクションを参照してください
質問: 仮想サーバーを稼動している場合どうすればいいでしょうか?
回答:ハイパーバイザーとすべてのゲスト オペレーティング システムの両方をアップデートする必要があります。
質問: インターネット ブラウザーが影響を受ける可能性はありますか? (JavaScriptバリアント2の悪用)?
回答:はい、インターネット ブラウザーはSpectreの脆弱性の影響を受ける可能性があり、ほとんどのブラウザーは、この潜在的な脆弱性を軽減するためにアップデートされたバージョンまたはパッチを提供しています。詳細については、Chrome、Internet Explorer、Mozillaに関する以下のリンクを参照してください。
- https://chromereleases.googleblog.com/2018/01/stable-channel-update-for-desktop_24.html
- https://support.microsoft.com/en-us/help/4056568
- https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
質問:iDRACおよびPERCは影響を受けますか?
回答:PERCとiDRACはどちらも、サード パーティー(ユーザー)コードを実行できないクローズ システムです。SpectreおよびMeltdownはどちらもプロセッサーで任意のコードを実行する必要があります。このクローズ コード配列により、いずれの周辺機器もサイドチャネル解析によってマイクロプロセッサーが悪用されるリスクがありません。
質問:アプライアンスについてはどうですか?影響を受けない他のアプリケーションはありますか
答え: サード パーティー(ユーザー)コードの実行を許可しないクローズド システムには脆弱性はありません
質問: AMD Opteronプロセッサーはどうですか
回答: https://www.amd.com/en/corporate/speculative-execution。
質問:インテル ベースのシステム向けのマイクロコード アップデートを含むBIOSは、いつデル・テクノロジーズから入手可能になりますか
答え: インテルのマイクロコード セキュリティ アップデートを含むアップデート済みBIOSは、PowerEdge 14G、13G、12G、および一部の11Gシステムで利用可能です。
答え: インテルのマイクロコード セキュリティ アップデートを含むアップデート済みBIOSは、PowerEdge 14G、13G、12G、および一部の11Gシステムで利用可能です。
- 「 PowerEdgeサーバーおよびネットワーキング製品のBIOS/ファームウェア/ドライバーのアップデート 」セクションで利用可能なPowerEdge 11G、12G、13G、14GのBIOSアップデートのリストを参照してください。
- 残りの11Gアップデートは開発中であり、時期が近づいたら発表します。
- PowerEdgeシステムで利用可能なBIOSアップデートの完全なリストは、「 PowerEdgeサーバーおよびネットワーキング製品のBIOS/ファームウェア/ドライバーのアップデート 」セクションで入手できます。この一覧は追加のBIOSバージョンが公開され次第、常にアップデートされるので、このページをブックマークすることをお勧めします。
質問:PowerEdgeテクノロジー(VXRailなど)で実行されているコンバージド インフラストラクチャのBIOSはいつ利用可能になりますか?
回答: デル・テクノロジーズは、PowerEdgeテクノロジーで実行されているすべての集約型インフラストラクチャ プラットフォームについて、既存のPowerEdgeコード アップデートの検証に取り組んでいます。追加情報が利用可能になり次第、アップデートが提供されます。
質問: デル・テクノロジーズは、PowerEdgeサーバーおよびコンバージド インフラストラクチャ用のオペレーティング システムとハイパーバイザーのパッチを工場出荷時にインストールする予定です
答え: 2018年3月6日現在、Dellでは、Spectre/Meltdown脆弱性を軽減するために、次のバージョンのオペレーティング システム アップデートを工場出荷時にインストールしています。これらは、(すべて有効にすると)最高度の保護を設定できます(可能な場合)。場合によっては、ベンダーによって提供される新しいアップデートがあります。 オペレーティング システム ベンダーのWebサイトで、特定の構成ガイダンスと新しいアップデートおよび構成オプションが利用可能になったら、引き続き確認してください。
- Windows Server 2016:KB4056890 (2018年1月4日リリース)
- Red Hat Software Enterprise Linux 7.4: kernel-3.10.0-693.11.6.el7.x86_64 (2018年1月4日リリース)
- SuSE Linux Enterprise Server 12 SP3: kernel-default-4.4.103-6.38.1.x86_64 (2018年1月4日リリース)
- VMware ESXi 6.5U1:Rev A08 Build 7388607 (VMSA-2018-002パッチを含む)
- VMware ESXi 6.0U3: Rev A08 Build 6921384 (VMSA-2018-002パッチを含む)
質問:この脆弱性は、少なくとも10年前にさかのぼってマイクロプロセッサに影響を与えると聞いています。BIOSアップデートは,Dellではどこまで対応されますか?
回答:第11世代製品ラインまでさかのぼってPowerEdgeシステム用に必要なマイクロコード パッチを含むBIOSを提供できるように、Dellはインテルと協力して作業中です。セキュリティ修正のためのマイクロコード アップデートを含むBIOSアップデートは、デル・テクノロジーズにコード アップデートを提供している影響を受けるプロセッサー ベンダーに依存します
質問: デル・テクノロジーズは、保証対象外のシステムに対してテクニカル サポートを提供します
答え: 有効なサポート契約がないDell Technologies PowerEdgeサーバーについては、デル・テクノロジーズはテクニカル サポートを提供しません。お客様は、現在のサポート契約のステータスにかかわらず、Dellサポートにアクセスして、公開されているサポート文書を入手することができます。
質問:デル・テクノロジーズは保証対象外のシステム用のパッチを提供します
答え: Dell Technologies PowerEdgeサーバー製品は、有効なサポート契約がなくても、サポート ページおよびダウンロード ページにアクセスできます。PowerEdgeサーバーのBIOSアップデートは、現在のサポート契約ステータスに関係なく、すべてのユーザーがデル・テクノロジーズ サポート サイトで入手できます。BIOSの可用性については、 BIOSセクション「PowerEdgeサーバーおよびネットワーキング製品のBIOS/ファームウェア/ドライバーのアップデート」を参照してください。オペレーティング システム パッチは、オペレーティング システム プロバイダーから取得する必要があります。 オペレーティング システム パッチ ガイダンス セクションのリンクを参照してください。
質問: 新しいAMD EPYCプロセッサーは影響を受けますか?
回答:AMDプロセッサーに関連するMeltdown(CVE-2017-5754)、スペクター バリアント1(CVE-2017-5753)、スペクター バリアント2(CVE-2017-5715)に関するAMDの公式声明については、 https://www.amd.com/en/corporate/speculative-execution.
を参照してください。スペクター バリアント1(CVE-2017-5753)については、該当するオペレーティング システム パッチでこの問題に対処します。
質問: Spectreに影響されるAMD EYPCベースPowerEdgeシステムのBIOSアップデートはいつ提供されますか?
回答:14Gプラットフォーム(R7425、R7415、R6415)のBIOSアップデートはDell EMCからリリース済みです。これらのBIOSアップデートはデル・テクノロジーズの製品サポート ページから入手できます。これらのBIOSの工場出荷時インストールは、2018年1月17日に利用可能になりました。
質問: インテルのマイクロコード アップデートを含むBIOSは、いつからインテル ベースのPowerEdgeシステムに工場出荷時にインストールされますか?
回答:PowerEdge 14Gおよび13G(R930を除く)のBIOSは、2018年3月6日の工場出荷時インストールで利用可能になる予定です。 PowerEdge R930のBIOSは、2018年3月9日までに工場出荷時インストールで使用できるようになることを目標としています。
質問:これらのBIOSおよびオペレーティング システムのアップデートによるパフォーマンスへの影響はありますか
答え: この攻撃の主な側面はパフォーマンスに関連する機能である、投機的実行に依存します。パフォーマンスへの影響は、ワークロードに大きく依存するため、さまざまです。デルではインテルおよびその他のベンダーと協力して、アップデートによるパフォーマンスへの影響を調査中です。結果が出次第、公表します。
答え: この攻撃の主な側面はパフォーマンスに関連する機能である、投機的実行に依存します。パフォーマンスへの影響は、ワークロードに大きく依存するため、さまざまです。デルではインテルおよびその他のベンダーと協力して、アップデートによるパフォーマンスへの影響を調査中です。結果が出次第、公表します。
Cause
原因に関する情報はありません。
Resolution
解決策に関する情報はありません。
Affected Products
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage ModelsArticle Properties
Article Number: 000178106
Article Type: Solution
Last Modified: 06 Sept 2023
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.