Ubuntuが新たなMicroarchitectural Data Sampling(MDS)の脆弱性を緩和するアップデートを実施
by Canonical on 27 May 2019
Microarchitectural Data Sampling(MDS)は、各種Intel製マイクロプロセッサにおける一連の脆弱性(CVE-2018-12126、CVE-2018-12127、CVE-2018-12130およびCVE-2019-11091)であり、悪意あるプロセスが、同じCPUコアで実行中の他のプロセスからさまざまな情報を読み取ることを可能にするものです。この脆弱性は、CPUコア内のさまざまなマイクロアーキテクチャエレメント(バッファ)の使用が原因で発生しています。あるひとつのプロセスがこれらのバッファからデータを投機的にサンプリングできる場合、プロセス間の切り替え時にこれらのバッファがクリアされないため、その内容を推測し、他のプロセスに属しているデータを読み取ることができます。これには、2つの異なるユーザ空間プロセスでの切り替え、カーネルとユーザ空間の間での切り替え、仮想化を使用中のホストとゲストの間での切り替えが挙げられます。
単一のCPUスレッドに対してスケジュールされたシングルプロセスの場合は、そのCPUスレッドへ新しい処理をスケジューリングする際にこれらのバッファをクリアすることで、比較的簡単にこの脆弱性を緩和できます。この緩和策を行えるように、Intelはアップデートされたマイクロコードをリリースしました。このマイクロコードとLinuxカーネルに対する変更を組み合わせることで、これらのバッファは適切にクリアされます。
アップデート版のIntel製マイクロコード、qemu、およびLinuxカーネルパッケージは、Ubuntuリリース16.04 LTS、18.04 LTS、18.10、19.04に対する標準のUbuntuセキュリティメンテナンスの一部として、およびUbuntu 14.04 ESMユーザ向けの延長セキュリティメンテナンスの一部として公開されます。これらの脆弱性は、非常に広範囲のIntel製プロセッサ(ノートPC、デスクトップPC、サーバー機器)に影響があるため、Ubuntuユーザの大部分が影響を受けることが予想されます。ユーザには、上記のアップデートされたパッケージが提供された時点ですぐにインストールすることをお勧めします。
ハイパースレッディングとも呼ばれる同時マルチスレッディング(SMT)を使用することで、これらのバッファが兄弟関係のハイパースレッド間で共有されるため、問題はさらに複雑になります。そのため、SMTが有効化されている場合は、上述の変更は今回の脆弱性の緩和には不十分となります。そのため、信頼できないコードやアプリケーションの実行時は、SMTの使用をお勧めしません。
これらの脆弱性を緩和する個別のパッケージのバージョン、また任意でSMTを無効化する方法などの詳細は、Ubuntu Security Knowledge Base内のこちらの記事(英語)をご覧ください。
ニュースレターのサインアップ
関連記事
Firefighting Supportを発表
新しいサービスでCanonicalの専門家が高度なクラウドサポートを提供 Canonicalのマネージドソリューションチームは、自社でインフラストラクチャの管理を行い、トラブルシューティングの必要があるときのみ専門家の対応を求める組織のために、新しいサービス「Firefighting Support」を発表しました。 Firefighting Supportでは、フルマネージドサービスを止めた、または厳しいセキュリティ規制によってサードパーティーに環境へのアクセスを許可できないお客様に対して、マネージドサービスレベルのサポートを提供します。このサービスはノードごとの年間料金で提供され、次のような内容です。 自己管理インフラストラクチャへの移行に理想的 現在の市場では、マネ […]
Linuxにセキュリティパッチを適用する頻度は?
セキュアな環境を維持するには定期的なパッチの適用が不可欠ですが、Linux環境を安全に保つための方法は環境によって異なります。運用の安定性を考えて、どのぐらいの更新頻度が妥当でしょうか? 最も制限が多く、規制が厳しい環境でも、準拠が保証され安全な方法で、セキュリティパッチの適用を自動化できる方針が存在します。セキュリティパッチの適用方針を定義するときは、Canonicalでのソフトウェア更新のリリーススケジュールを理解し、セキュリティパッチの適用の時間枠を知っておくことが不可欠です。私は最近、ライブのウェビナーとセキュリティの質疑応答を主催し、パッチ適用の回数を最小化するとともに、パッチが適用されていない脆弱性が悪用される回数も最小化する方法について解説しました。この記事 […]
CanonicalのCISOがEUサイバーレジリエンス法を完全解説
強力で対象の広い規制は、関係者の安全を確保する一方、不確定性をもたらす可能性があります。EUサイバーレジリエンス法(CRA)も例外ではありません。オープンソース関係者と技術業界全般にわたり、心配、不安、希望などさまざまな反応が見られます。 しかし怖がる理由があるのでしょうか? EUサイバーレジリエンス法が本当にオープンソースの状況を変えるのでしょうか? 企業はこの法律にどう備えれば良いのでしょうか? この記事ではEUサイバーレジリエンス法とその目的、要件、オープンソース関係者に対する影響を説明し、施行に備えたサイバーセキュリティ上のアドバイスをご紹介します。 EUサイバーレジリエンス法とは? EUサイバーレジリエンス法(CRA)とは、欧州連合(EU)の法律で、EUのIT業 […]
