Spectre/Meltdown対策さらにさらにその後・3月初旬編
16.
……これだけでは状況がよく分からなくなってくるはずなので、
Meltdownは、
- カーネルを含めた、
他のプロセスのメモリの中身を読み取ることが可能な問題。すでに攻撃コードに転用可能なサンプルが存在しており、 攻撃も十分に可能と考えられる。 「なんらかの信用できないコードが実行されうる環境」 では必ず対策が必要。 - 対策には基本的にカーネルのPTI
(KPTI) が必要。KPTIを有効にすることで、 ワークロードによっては一定の性能劣化が発生する場合がある。 - UbuntuにはKPTIが実装済みで、
デフォルトで有効 (1-2月に提供された新しいカーネルへのアップデートが必要)。 - 外部から信用できないコードが読み込まれうるWebブラウザでは、
たいていが攻撃を抑制するための措置を導入済み。 - 信用できないコードが実行されない
(かつ、 信用できないユーザーがログインできない) 環境で、 かつ、 パフォーマンスにセンシティブな環境や影響の調査用に、 KPTIをオフにすることもできる。 - Paravirt
(PV) で動作している場合はKPTIによる保護では守り切れないので、 HVMに移行する必要がある。
Spectreは、
- 他のプロセスのメモリの中身を読み取ることが可能な問題。非常に限定的な条件で攻撃を成立させることが可能だが、
現実的な攻撃に転用できるかは議論の余地がある。ただし、 将来的に攻撃手法が確立される可能性があるため、 対策は必要。 - 対策の一部として、
IBRS (IBRS_ ALL) と呼ばれる、 新しいCPUマイクロコードと組み合わせて動作する実装をカーネルで適用することで、 カーネルとユーザーランドそれぞれを保護できる。ただし、 ワークロードによっては、 IBRSはパフォーマンスに一定の悪影響を及ぼすことがある。 - IBRSとは異なる実装として、
カーネルとユーザーランドそれぞれのバイナリを、 Retpolineと呼ばれるコンパイラオプションを利用してコンパイルすることで影響を回避することもできる。Retpolineによるパフォーマンス影響はIBRSに比べると大きくない。 - 外部から信用できないコードが読み込まれうるWebブラウザでは、
たいていが攻撃を抑制するための措置を導入済み。 - Ubuntuとしては当初
(1月初旬)、 IBRSを利用して 「カーネルとユーザーランドを」 保護する対策を導入したが、 Intelのマイクロコード問題を起因とする幾つかのトラブルによってIBRSでの対策を取り下げ、 Retpolineベースで 「カーネルを」 保護する路線に切り替えている。ユーザーランドはまだ保護されていない。 - ユーザーランドをRetpolineで保護する
(=各種パッケージをRetpoline有効な状態でリビルドする) 対策が検討されている。全ユーザーランドに適用するのは18. 04 LTSのみ。16. 04 LTSや17. 10については一部のみに適用することを検討している (今回の動きがこれ・ その1 )。 - 対策として、
STIBPやIBPBと呼ばれる実装も別途必要。当初のRetpolineではIBPBと併用できなかったので、 順次対応中 (今回の動きがこれ・ その2 )。
この問題は非常に複雑なため、
最新の情報は、
その他のニュース
- Bionicのカーネルがついに
(上述のようなSpectre/ MeltdownやIntel SPIドライバ騒動を越えて) 4. 15ベース に辿り着きました。 - ASUS製ノートPCの一部でカラーが正しく表示されない
(UX303LA) 問題と、 バッテリーステータスが正しく反映されない (UX360UA、 UX410UAK、 GL502VSK、 UX305LA) 問題が修正される見込みです。
今週のセキュリティアップデート
- usn-3575-1:QEMUのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004284. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2017-11334, CVE-2017-13672, CVE-2017-14167, CVE-2017-15038, CVE-2017-15118, CVE-2017-15119, CVE-2017-15124, CVE-2017-15268, CVE-2017-15289, CVE-2017-16845, CVE-2017-17381, CVE-2017-18043, CVE-2018-5683を修正します。 - ゲスト側からQEMUをクラッシュさせうる複数の問題を解決します。
- 対処方法:アップデータを適用の上、
QEMU仮想マシンを再起動してください。
- https://
- usn-3576-1:libvirtのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004285. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2016-5008, CVE-2017-1000256, CVE-2018-5748, CVE-2018-6764を修正します。 - VNCパスワードが設定されていない場合もVNC接続が可能だった問題と、
証明書検証が適切に行われていない問題・ 外部から特定の入力を行うことでクラッシュを誘発できる問題・ LXC (libvirt_ lxc) 利用時にlibnss_ dnsの問題により任意のコードの実行が可能な問題がありました。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-3577-1:CUPSのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004286. html - Ubuntu 16.
04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2017-18190を修正します。 - CUPSがHostヘッダが
「localhost. localcomadin」 で、 かつloインターフェースを経由した接続の場合は管理画面に接続できることを利用し、 悪意あるWebサイトがDNSリバインディング攻撃を行うことでCUPS管理画面に含まれる秘匿すべき情報やプリンタ管理を行うことが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3579-1:LibreOfficeのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004287. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2018-6871を修正します。 - 特定の入力を行うことで、
本来権限のないドキュメントを閲覧することが可能でした。 - 対処方法:アップデータを適用の上、
LibreOfficeを再起動してください。
- https://
- usn-3580-1:Linux kernelのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004288. html - Ubuntu 12.
04 ESM用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753への緩和策を提供します。 “Spectre” 対策のため、 IBRS/ IBPB機能を提供します。これらの機能が機能するためには、 更新されたマイクロコードが利用できる必要があります。仮想化環境の場合はハイパーバイザーがこれらの機能をゲストに提供している必要があります。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-3581-1:Linux kernelのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004289. html - Ubuntu 17.
10用のアップデータがリリースされています。CVE-2017-15115, CVE-2017-17712, CVE-2017-8824を修正します。また、CVE-2017-5715への緩和策を提供します。 “Spectre” 対策となる “Retpoline” をカーネルに提供する修正を含め、 複数のセキュリティ脆弱性に対応します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-3582-1:Linux kernelのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004290. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2015-8952, CVE-2017-12190, CVE-2017-15115, CVE-2017-17712, CVE-2017-8824を修正します。また、 CVE-2017-5715への緩和策を提供します。 “Spectre” 対策となる “Retpoline” をカーネルに提供する修正を含め、 複数のセキュリティ脆弱性に対応します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-3581-2:Linux kernel (HWE)のセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004291. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2017-15115, CVE-2017-17712, CVE-2017-8824を修正します。また、CVE-2017-5715への緩和策を提供します。 “Spectre” 対策となる “Retpoline” をカーネルに提供する修正を含め、 複数のセキュリティ脆弱性に対応します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-3582-2:Linux kernel (Xenial HWE)のセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004292. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2015-8952, CVE-2017-12190, CVE-2017-15115, CVE-2017-17712, CVE-2017-8824を修正します。また、 CVE-2017-5715への緩和策を提供します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-3578-1:WavPackのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004293. html - Ubuntu 17.
10用のアップデータがリリースされています。CVE-2018-7253, CVE-2018-7254を修正します。 - 悪意ある加工を施したファイルを処理することで、
メモリ破壊を伴うクラッシュが生じる場合がありました。悪用により任意のコードの実行が可能と考えられます。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3581-3:Linux kernel (Raspberry Pi 2)のセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004294. html - Ubuntu 17.
10用のアップデータがリリースされています。CVE-2017-15115, CVE-2017-17712, CVE-2017-8824を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-3583-1:Linux kernelのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004296. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2017-0750, CVE-2017-0861, CVE-2017-1000407, CVE-2017-12153, CVE-2017-12190, CVE-2017-12192, CVE-2017-14051, CVE-2017-14140, CVE-2017-14156, CVE-2017-14489, CVE-2017-15102, CVE-2017-15115, CVE-2017-15274, CVE-2017-15868, CVE-2017-16525, CVE-2017-17450, CVE-2017-17806, CVE-2017-18017, CVE-2017-5669, CVE-2017-5754, CVE-2017-7542, CVE-2017-7889, CVE-2017-8824, CVE-2018-5333, CVE-2018-5344 を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-3583-2:Linux kernel (Trusty HWE)のセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004297. html - Ubuntu 12.
04 ESM用のアップデータがリリースされています。CVE-2017-0750, CVE-2017-0861, CVE-2017-1000407, CVE-2017-12153, CVE-2017-12190, CVE-2017-12192, CVE-2017-14051, CVE-2017-14140, CVE-2017-14156, CVE-2017-14489, CVE-2017-15102, CVE-2017-15115, CVE-2017-15274, CVE-2017-15868, CVE-2017-16525, CVE-2017-17450, CVE-2017-17806, CVE-2017-18017, CVE-2017-5669, CVE-2017-7542, CVE-2017-7889, CVE-2017-8824, CVE-2018-5333, CVE-2018-5344を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-3584-1:sensible-utilsのセキュリティアップデート
-
- Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2017-17512を修正します。 - 悪意ある入力文字列
(URL) を処理させることで、 任意のコードを実行させることが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- Ubuntu 17.