Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

CPU に対するサイドチャネル攻撃(CVE-2018-3639, CVE-2018-3640)


掲載番号:NV18-012
脆弱性情報識別番号:JVNVU#97971879, VU#180049

概要

プロセッサの投機的実行に関し、新たに2つの脆弱性が2018年5月21日に公開されました。
2018年1月に公開されましたプロセッサの脆弱性(Meltdown, Spectre)に類似する攻撃手法であることから、「Variant 3a」(CVE-2018-3640)、「Variant 4(Spectre-NG)」(CVE-2018-3639) と呼ばれています。

悪意のあるプログラムから保護されたメモリ領域にアクセスすることが可能になり、機密情報を取得される可能性があります。

対象製品

Data Platform for Hadoop

影響の有無

影響あり

対象となる製品のバージョン

- Version:R2.1

対処方法

製品として構成される HW 及び OS について対処を実施してください。
         対処方法の詳細については弊社営業にお問い合わせ下さい。

TPBASE

影響の有無

影響あり

対象となる製品のバージョン

- Windows版TPBASE 全バージョン
         - Linux版TPBASE 全バージョン

対処方法

各ハードウェアベンダーから提供されている本件に対応したファームウェアを
適用してください。
         TPBASE関連製品についてパッチ等の提供はございません。

参考情報

Japan Vulnerability Notes JVNVU#97971879
投機的実行機能を持つ CPU に対するキャッシュサイドチャネル攻撃
https://jvn.jp/vu/JVNVU97971879/


CERT/CC Vulnerability Note VU#180049
CPU hardware utilizing speculative execution may be vulnerable to cache side-channel attacks
https://www.kb.cert.org/vuls/id/180049


CVE-2018-3639, CVE-2018-3640
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3640


弊社製品におけるプロセッサの脆弱性(CVE-2018-3639、CVE-2018-3640)への対応について
https://jpn.nec.com/security-info/av18-002.html

更新情報


2018/07/27     Data Platform for Hadoop,TPBASE を登録しました。