ページの本文へ

Hitachi

製品使用上の注意事項

 

平素より弊社製品に格別のご高配を賜り、厚く御礼を申し上げます。

投機的実行機能やアウトオブオーダー実行機能を持つCPUに対してサイドチャネル攻撃を行う手法 (SpectreおよびMeltdown) が報告されており、本件は以下の通り、JVNのサイトにも掲載されています。
[JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)]
https://jvn.jp/vu/JVNVU93823979/index.html


以下に脆弱性の概要および、各製品の該非情報、対応方法を記載いたしますので、ご一読の上、お客様にてご対応をお願いいたします。

1. 脆弱性の概要

今回の脆弱性は、悪意あるプログラムが攻撃対象のサーバ/クライアントマシン上で実行された場合、ユーザ権限ではアクセスできないOSカーネル空間上のデータが参照可能となるものです。
本脆弱性に関しては、具体的に以下が判明しております。

  • ユーザ権限で実行中のプロセスから、機密情報(パスワード等)を取得される可能性があります。
  • 本脆弱性によって影響を受けるシステムは、投機的実行機能やアウトオブオーダー実行機能を持つ CPUを使用しているサーバ/クライアントマシンです。
  • 本脆弱性をついた攻撃は、該当マシン上で悪意のあるプログラムを直接実行した場合のみ発生します。
  • データの改ざんの可能性はありません。
  • Spectre 攻撃に関しては、細工された Javascript コードによって、Javascript からは取得できないはずの web ブラウザプロセス中のデータを取得可能であると報告されています。
  • 本脆弱性については、以下サイトを参照願います。
    http://www.hitachi.co.jp/hirt/publications/hirt-pub18001/index.html

2. 各製品の該非情報、対応方法

投機的実行機能を持つ CPU に対するサイドチャネル攻撃の影響についてお知らせします。
本情報は、最新の情報が入り次第、随時更新いたします。

  2.1 PCサーバ・クライアント製品への影響は、「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」についてをご確認ください。

  2.2 その他サーバ・ホスト系製品への影響は、「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」についてをご確認ください。

  2.3 ストレージ製品への影響は、「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」についてをご確認ください。

  2.4 ソフトウェア製品への影響は、「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」についてをご確認ください。

  2.5 Hitachi Cloudへの影響は、「Hitachi Cloud 投機的実行機能を持つ CPU に対するサイドチャネル攻撃」についてをご確認ください。

  2.6 日立ストレージサービス基盤・SAP HANAクラウドサービス基盤への影響は、「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」についてをご確認ください。

  2.7 プリンタ製品については、本脆弱性による影響を受けないため、対応は不要です。

3. 脆弱性の対策について

各脆弱性に対する サーバのUEFI(BIOS)、仮想化機構、OS 対策版の適用の要/不要は以下の通りです。
詳細につきましては、各製品サポート窓口にお問い合わせください。

表1.脆弱性の対策
CVE 脆弱性 サーバのUEFI(BIOS)
(マイクロコード) アップデート*3
Virtage HVM F/W
対策版適用
VMware vSphere ESXi
対策版適用
Red Hat Enterprise
Linux対策版適用
Windows Server /
Client対策版適用
2017-5715 Spectre 要*2 要*2 要*1 要*1
2017-5753 不要 不要
2017-5754 Meltdown 不要 不要 不要 要*1 要*1

*1 ベアメタル環境、KVMホスト環境/Hyper-Vホスト環境、仮想ゲストOS環境(ハイパーバイザに依存しない)何れの場合も適用が必要です。
*2 使用している場合は適用が必要です。
*3 Intel公開情報より(https://s21.q4cdn.com/600692695/files/doc_presentations/2018/Side-Channel-Analysis-Security.pdf

また、その他サーバ・ホスト系製品(EP8000、SR16000、SR24000)に関する対策方法については以下の通りです。
  (1)EP8000については、EP8000のF/W、Virtual I/O Server対策版及びAIX対策版全ての適用が必要です。
  (2)SR24000/SR16000ついては、SR24000/SR16000のF/W及びAIX対策版両方の適用が必要です。

5. 更新履歴

2018/04/20
・「PCサーバ・クライアント製品」、「その他サーバ・ホスト系製品への影響」を更新しました。
2018/04/16
・「PCサーバ・クライアント製品」を更新しました。
2018/04/13
・「PCサーバ・クライアント製品」、「ソフトウェア製品への影響」を更新しました。
2018/04/06
・「PCサーバ・クライアント製品」を更新しました。
2018/04/03
・「ソフトウェア製品への影響」を更新しました。
2018/03/30
・「PCサーバ・クライアント製品」を更新しました。
2018/03/23
・「PCサーバ・クライアント製品」、「その他サーバ・ホスト系製品への影響」、「ソフトウェア製品への影響」を更新しました。
2018/03/16
・「PCサーバ・クライアント製品」を更新しました。
2018/03/09
・「PCサーバ・クライアント製品」、「ソフトウェア製品への影響」を更新しました。
2018/03/02
・「PCサーバ・クライアント製品」を更新しました。
2018/03/01
・「ソフトウェア製品への影響」を更新しました。
2018/02/28
・「PCサーバ・クライアント製品」、「その他サーバ・ホスト系製品への影響」を更新しました。
2018/02/23
・「PCサーバ・クライアント製品」、「その他サーバ・ホスト系製品への影響」、「ソフトウェア製品への影響」を更新しました。
2018/02/19
・「日立ストレージサービス基盤・SAP HANAクラウドサービス基盤への影響」を更新しました。
2018/02/16
・「PCサーバ・クライアント製品」、「その他サーバ・ホスト系製品への影響」、「ソフトウェア製品への影響」を更新しました。
2018/02/13
・「1.脆弱性の概要」に「HIRT-PUB18001:【解説】 Meltdown、Spectre 問題とは」のリンクを追加しました。
2018/02/09
・「ソフトウェア製品への影響」を更新しました。
2018/02/08
・「その他サーバ・ホスト系製品への影響」を更新しました。
2018/02/07
・「その他サーバ・ホスト系製品への影響」、「ストレージ製品への影響」を更新しました。
2018/02/06
・「PCサーバ・クライアント製品」、「その他サーバ・ホスト系製品への影響」を更新しました。
2018/02/05
・「ソフトウェア製品への影響」を更新しました。
2018/02/01
・「プリンタ製品への影響」の記載方法を変更しました。
2018/01/31
・「その他サーバ・ホスト系製品への影響」、「ソフトウェア製品への影響」、「3.脆弱性の対策について」を更新しました。
2018/01/29
・「プリンタ製品への影響」を更新しました。
2018/01/26
・「PCサーバ・クライアント製品」、「ソフトウェア製品への影響」を更新しました。
2018/01/25
・「1.脆弱性の概要」の記載内容を見直しました。
2018/01/24
・「プリンタ製品への影響」を追加しました。
・「PCサーバ・クライアント製品」、「ソフトウェア製品への影響」を更新しました。
2018/01/23
・「その他サーバ・ホスト系製品への影響」を更新しました。
2018/01/19
・「その他サーバ・ホスト系製品への影響」、「Hitachi Cloudへの影響」を更新しました。
・「ストレージ製品への影響」のリンク先を変更しました。
2018/01/18
・「PCサーバ・クライアント製品」を更新しました。
2018/01/17
・「脆弱性の対策について」、「日立ストレージサービス基盤・SAP HANAクラウドサービス基盤への影響」を追加しました。
・「ソフトウェア製品への影響」を更新しました。
2018/01/16
・「Hitachi Cloudへの影響」を追加しました。
・「PCサーバ・クライアント製品への影響」、「その他サーバ・ホスト系製品への影響」、「ソフトウェア製品への影響」、「ストレージ製品への影響」を更新しました。
2018/01/15
・「ソフトウェア製品への影響」を更新しました。
2018/01/12
・「サーバ・クライアント製品への影響」、「サーバ・ホスト系製品への影響」、「ストレージ製品への影響」を更新しました。
2018/01/11
・製品への影響を追加しました。
2018/01/05
・新規作成および公開しました。
  • 弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
  • 当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴い、当ホームページの記載内容に変更が生じることがあります。
  • 当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。
  • 当ホームページから他サイトのページへのリンクアドレスは情報発信時のものです。他サイトでの変更などを発見した場合には、リンク切れ等にならないように努力はいたしますが、永続的にリンク先を保証するものではありません。
  • 記載の会社名、製品名などは、それぞれの会社の商標もしくは登録商標です。