ページの先頭です。
サイト内の現在位置を表示しています。
ここから本文です。

プロセッサの脆弱性(サイドチャネル攻撃)への対応について

掲載日:2018.01.16
最終更新日:2018.01.19

日頃は、NEC NX7700xシリーズ製品をご愛用いただきまして誠にありがとうございます。
このたび第三者機関により発見され、複数の研究機関、企業から情報公開されております、投機的実行機能や アウトオブオーダー実行機能を持つプロセッサーの脆弱性につきまして、ご案内いたします。
弊社対象装置をご利用いただいている場合、悪意のあるプログラムによりセキュリティの脆弱性を突いた攻撃を受けると、メモリのデータを不正に取得されてしまう可能性があります。 NECでは本件の対策のために、対象装置のシステムBIOSのアップデートを行います。
対象装置、およびアップデートモジュールの公開時期と公開ページ情報を以下に順次掲載して参りますので、 対象装置ごとの公開情報に基づき、ご対応いただきますようお願いいたします。

■ 脆弱性に関する情報

 ・今回指摘された脆弱性(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)を突いた攻撃を受けた場合
      に、対象装置内のメモリのデータを不正に取得されてしまう可能性があります。
 ・悪意のあるプログラムがシステム上で実行されない場合は、本脆弱性による被害に遭うことはありません。
 ・本脆弱性によるデータの改ざんの可能性はありません。

    関連情報:
    JVNVU#93823979 「CPU に対するサイドチャネル攻撃」 
     <https://jvn.jp/vu/JVNVU93823979/>
    インテル社から公開されたプレスリリース(脆弱性情報・英文)
    Security Exploits and Intel Products
    <https://newsroom.intel.com/press-kits/security-exploits-intel-products/>

■ 対処方法

 対象装置のシステムBIOSアップデートと、使用されているオペレーティングシステムの修正適用が必要です。
   なお、本対処により、お客様がお使いの装置の用途、負荷によっては処理性能が低下する場合があります。
  ・システムBIOSアップデート
   <対象機種一覧、修正物件公開時期>
    - 対象機種一覧情報、および公開時期の情報は随時更新いたします。
   - 掲載の対象は、補修用部品保有期限内*の製品となります。
       NX7700xシリーズ

      *NECでの補修用部品の最低保有期限は製造打切り後5年です。
                   各装置の補修用部品保有期限に関しては、弊社営業にご確認ください。

 ・オペレーティングシステムの修正適用
   各OSベンダから公開されております対策情報をご参照ください。

      [Windows]
      マイクロソフト社の下記サイトにて対策の情報が公開されています。
       - 投機的実行のサイドチャネルの脆弱性を緩和するガイダンス
       <https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180002>
       - Windows Serverを投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス
       <https://support.microsoft.com/ja-jp/help/4072698>
       - 重要:2018年1月4日にリリースされたWindowsセキュリティ更新プログラムとウイルス対策ソフトウェア
       <https://support.microsoft.com/ja-jp/help/4072699>

      [VMWare]
       vmware社の下記サイトにて対策の情報が公開されています。
       - VMSA-2018-0002.2  VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution.
     <https://www.vmware.com/security/advisories/VMSA-2018-0002.html>

     [Linux(RHEL)]
       Red Hat社の下記サイトにて対策の情報が公開されています。
      - Kernel Side-Channel Attacks - CVE-2017-5754 CVE-2017-5753 CVE-2017-5715
     <https://access.redhat.com/security/vulnerabilities/speculativeexecution>

     [Linux(SUSE Linux)]
       SUSE社の下記サイトにて対策の情報が公開されています。
     - SUSE Addresses Meltdown and Spectre Vulnerabilities
    <https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/>
     - Security Vulnerability: "Meltdown" and "Spectre" side channel attacks against modern CPUs.
    <https://www.suse.com/ja-jp/support/kb/doc/?id=7022512>
     - Security Vulnerability: "Meltdown" and "Spectre" - Hypervisor Information.
    <https://www.suse.com/de-de/support/kb/doc/?id=7022514>

ページの先頭へ戻る