新CPU脆弱性MDS(Microarchitectural Data Sampling)と対応状況に関して・・

2019年5月18日土曜日

arch base debian base others ubuntu base 情報セキュリティ


またか・・という感じですが、5月14日にIntelから発表のあった新CPU脆弱性MDS(Microarchitectural Data Sampling)・・meltdown、spectre等と同様、CPUの投機的実行をターゲットとするサイドチャネル攻撃の一種であり、下記4種類の脆弱性で構成されています。

・CVE-2018-12126:Microarchitectural Store Buffer Data Sampling(MSBDS)
⇒CVSS v3 Base Score: 6.5 Medium
・CVE-2018-12130:Microarchitectural Fill Buffer Data Sampling(MFBDS)
⇒CVSS v3 Base Score: 6.5 Medium
・CVE-2018-12127:Microarchitectural Load Port Data Sampling(MLPDS)
⇒CVSS v3 Base Score: 6.5 Medium
・CVE-2018-11091:Microarchitectural Data Sampling Uncacheable Memory(MDSUM)⇒CVSS v3 Base Score: 3.8 Low

CVSS-V3 Base Scoreが、CVE-2018-12126/12130/12127⇒6.5、CVE-2018-11091⇒3.8となっており、これら脆弱性を使用する難易度が極めて高いが故に、深刻度はMedium程度です。

Windowsに関しては、5月14日(現地時間)の月例パッチにて緩和策適用済みとなります。Windows 10(Ver.1809)の場合は、KB4494441(2度インストールされるという不具合報告があります→筆者も経験)に含まれます。ただしCPUマイクロコードの適用はありませんので、Biosアップデート(リリース時期は各ベンダー依存です)が別途必要です。

またサーバー用途の場合は緩和策適用により性能劣化の可能性がありますので注意が必要です。

各LinuxにおいてはCPUマイクロコードを含むファームウエアアプデ―ト等が必要となります(各Distributionによって対応時期は異なります)。

Linuxの場合もサーバー用途の場合は緩和策適用により性能劣化の可能性がありますので注意が必要です。

現在筆者が使用あるいは設定中のLinuxにおけるMDS緩和策適用度は以下のようになります(最新のCPUマイクロコード及び最新の更新はインストール済みです)。

1) Xubuntu 19.04 "Disco Dingo" / Ubuntu 19.04 base
最新のIntel microcodeは適用済みです。
MDSの緩和策適用済みとなります。

2) Debian Buster Testing Gnome Edition/Debian 10 Testing
別途Intel microcodeのインストールが必要です。

Intel Microcodeは別途インストールが必要なものの、MDSには緩和策適用済みとなります。

3) ArcoLinux 19.05.2/Arch base
最新のIntel microcodeは適用済みっぽい(笑。

でも、現時点でMDSには未対応です。

Debian/Ubuntu系の対応は、やっぱり早いって事でしょうか・・。


*CPUマイクロコードの適用等に関して

MDSの緩和策のため、一般的にIntel CPUマイクロコードの導入、あるいはBIOSアップデートが必要となりますが、第2世代のXeonや、第8、第9世代のIntel Coreプロセッサに対しては、HW上対策が施されているため、これらは必要ありません。