CPU脆弱性(Spectre/Meltdown)についてVMware製品での対応

SHARE

こんにちは。EIT入社1年目のO です。

 

2018年を迎えて早々、2種類のCPU脆弱性「Spectre(スペクター)」と「Meltdown(メルトダウン)」が大きな話題となりました。

私もVMware製品の検証に関する業務を担当していたため、緊急でこの問題への対応を行いました。

ただ、この脆弱性がなぜここまで話題となり、緊急での対応となっているのか、正確に把握していない状態で対応をしていました。

 

そのため、今回はこのCPU脆弱性について、私が業務で担当していたVMwareの観点から、対策などを整理してみようと思います。

Ⅰ「Spectre」と「Meltdown」とは?

2種類の脆弱性について、セキュリティ対策情報を提供しているJVNVU#93823979では以下のように記載されています。

「投機的実行機能やアウトオブオーダー実行機能を持つ CPU に対してサイドチャネル攻撃を行う手法」

 

この記載のみでは影響がわかりづらいですが、この手法が悪用されると、本来アクセスできないはずの機密情報(パスワードや暗号鍵など)をプロセッサから搾取できるようになり、セキュリティへの重大な問題へとつながります。

そこで、「Spectre」および「Meltdown」の影響を受ける製品で、早急に対策が必要となっています。

 

VMware社のKnowledge Base 52245では、以下の3つの脆弱性が記載されています。

  • Variant 1: 境界チェックのバイパス(CVE-2017-5753) – 通称 Spectre
  • Variant 2: 分岐ターゲットのインジェクション(CVE-2017-5715) – 通称 Spectre
  • Variant 3: 不正なデータのキャッシュ読み込み(CVE-2017-5754) – 通称 Meltdown

 

ⅡVMware社からの公開情報

VMware社が提供している製品に対する今回のCPU脆弱性の影響と対応策についてもKnowledge Base 52245およびKB内のリンク先で確認ができるようになっているため、以下にその内容をまとめます。

(1)ハイパーバイザー製品での対応

ハイパーバイザー製品については、Spectre(Variant1およびVariant2)の影響に対して対策が必要となります。

Meltdown(Variant3)に関しては、ハイパーバイザー製品への影響はありません。

影響を受けるハイパーバイザー製品の対策については、VMSA-2018-0002に記載されており、パッチの適用またはバージョンの更新が必要となっています。

(2)ゲストOSへの対応

ゲストOSでは、各OSベンダから提供されている対策の適用が必要です。

ただ、ゲストOS用の対策を実施(パッチを適用する)と、ゲストOSがSpectre対策としてCPU制御を行うようになり、仮想マシンでもそれにあわせた対応をする必要があるため、ハイパーバイザでの支援機能をVMware社が提供しています。

この対応はVMSA-2019-0004.2に記載されています。

ただし、VMware社が提供しているESXi に関しては対策パッチに問題があったため、その詳細が記載されたKnowledge Base 52345が案内されています。

KBの中でESXiについては、VMSA-2019-0002の方に記載されているパッチを適用してくださいと書かれているので、こちらを参照しましょう。

(3)仮想アプライアンスでの対応

VMware社の仮想アプライアンスで影響を受ける製品はKnowledge Base 52264で紹介されています。

  • VMware vCloud Usage Meter (Workaround KB 52467)
  • VMware Identity Manager (Workaround KB52284)
  • VMware vCenter Server 6.5 (Workaround KB52312)
  • VMware vCenter Server 6.0 (Workaround KB52312)
  • VMware vSphere Data Protection
  • VMware vSphere Integrated Containers
  • VMware vRealize Automation (Workaround 7.2/7.3 KB52377 and 6.2.x KB 52497)

 

私が確認したときには、製品によっては2月7日の最終更新時点でも対策が出ていないものがあるので、更新され次第、対策の実施をしましょう!

そのためKB52264は今後も要チェックですね。

(4)Photon OSでの対応

VMware社が提供しているゲストOS製品「Photon OS」についてもSecurity Advisoryが発行されています。

  • PHSA-2018-1.0-00097
  • PHSA-2018-2.0-00010
  • PHSA-2018-1.0-00098
  • PHSA-2018-2.0-00011

Ⅲまとめ

「Spectre」と「Meltdown」を悪用すると、プロセッサから機密情報を搾取できるようになり、重大なセキュリティの問題を引き起こします。

 

CVE-2017-5753とCVE-2017-5715の脆弱性が通称Spectreで、CVE-2017-5754の脆弱性が通称Meltdownと呼ばれています。

 

VMwareの公開情報もたくさんあるので(特にKB)、全体のサマリとなっているKnowledge Base 52245を確認して、そこから必要な情報を入手しましょう。

 

VMware社からの情報量だけでも、今回のCPU脆弱性の問題がどれだけのインパクトを持っているかが分かりますね、、、

セキュリティに関しては、定期的に教育がなされることが当たり前となっているくらい重要なことなので、業務では特に意識していきましょう。

 

 

 

前の記事

サービス提供者の為のクラウド「IaaS」

次の記事

vSphere のクライアントインターフェイス