概要

プロセッサの投機的実行に関し、新たに2つの脆弱性が2018年5月21日に公開されました。
2018年1月に公開されましたプロセッサの脆弱性（Meltdown, Spectre）に類似する攻撃手法であることから、「Variant 3a」(CVE-2018-3640)、「Variant 4（Spectre-NG）」(CVE-2018-3639) と呼ばれています。

悪意のあるプログラムから保護されたメモリ領域にアクセスすることが可能になり、機密情報を取得される可能性があります。

対象製品

Data Platform for Hadoop

影響の有無

対象となる製品のバージョン

- Version：R2.1

対処方法

Express5800シリーズ

影響の有無

対象となる製品のバージョン

対処方法に記載したURLを参照してください。

対処方法

iStorage NSシリーズ

影響の有無

対象となる製品のバージョン

対処方法に記載したURLを参照してください。

対処方法

NX7700xシリーズ

影響の有無

対象となる製品のバージョン

- A2010シリーズ：システムBIOS 5.6.0171
- A3010M、A3012シリーズ：システムBIOS 5.6.0273
- A4010M、A4012シリーズ：システムBIOS 5.6.0383

対処方法

TPBASE

影響の有無

対象となる製品のバージョン

対処方法

参考情報

Japan Vulnerability Notes JVNVU#97971879
投機的実行機能を持つ CPU に対するキャッシュサイドチャネル攻撃
https://jvn.jp/vu/JVNVU97971879/

CERT/CC Vulnerability Note VU#180049
CPU hardware utilizing speculative execution may be vulnerable to cache side-channel attacks
https://www.kb.cert.org/vuls/id/180049

CVE-2018-3639, CVE-2018-3640
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3640

弊社製品におけるプロセッサの脆弱性（CVE-2018-3639、CVE-2018-3640）への対応について
https://jpn.nec.com/security-info/av18-002.html

更新情報

2019/07/05     NX7700xシリーズ,Express5800シリーズ,iStorage NSシリーズ を登録しました。
2018/07/27     Data Platform for Hadoop,TPBASE を登録しました。