Intel製CPUに新たな脆弱性が見つかる
Intel製CPUに「L1 Terminal Fault(L1TF)」と呼ばれる新しい脆弱性が見つかりました。
CPUコアのL1データキャッシュ内のデータが、CPUコア上で実行されている悪意あるプロセス(ソフトウェア)に漏洩する問題です。
Intelによるアナウンスは、以下を参照してください。
影響を受けるCPU
現時点で本脆弱性の影響を受けるCPUは、以下の通りです。
Intel® Core™ i3 processor (45nm and 32nm)
Intel® Core™ i5 processor (45nm and 32nm)
Intel® Core™ i7 processor (45nm and 32nm)
Intel® Core™ M processor family (45nm and 32nm)
2nd generation Intel® Core™ processors
3rd generation Intel® Core™ processors
4th generation Intel® Core™ processors
5th generation Intel® Core™ processors
6th generation Intel® Core™ processors
7th generation Intel® Core™ processors
8th generation Intel® Core™ processors
Intel® Core™ X-series Processor Family for Intel® X99 platforms
Intel® Core™ X-series Processor Family for Intel® X299 platforms
Intel® Xeon® processor 3400 series
Intel® Xeon® processor 3600 series
Intel® Xeon® processor 5500 series
Intel® Xeon® processor 5600 series
Intel® Xeon® processor 6500 series
Intel® Xeon® processor 7500 series
Intel® Xeon® Processor E3 Family
Intel® Xeon® Processor E3 v2 Family
Intel® Xeon® Processor E3 v3 Family
Intel® Xeon® Processor E3 v4 Family
Intel® Xeon® Processor E3 v5 Family
Intel® Xeon® Processor E3 v6 Family
Intel® Xeon® Processor E5 Family
Intel® Xeon® Processor E5 v2 Family
Intel® Xeon® Processor E5 v3 Family
Intel® Xeon® Processor E5 v4 Family
Intel® Xeon® Processor E7 Family
Intel® Xeon® Processor E7 v2 Family
Intel® Xeon® Processor E7 v3 Family
Intel® Xeon® Processor E7 v4 Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor D (1500, 2100)
Intel® Core™ i5 processor (45nm and 32nm)
Intel® Core™ i7 processor (45nm and 32nm)
Intel® Core™ M processor family (45nm and 32nm)
2nd generation Intel® Core™ processors
3rd generation Intel® Core™ processors
4th generation Intel® Core™ processors
5th generation Intel® Core™ processors
6th generation Intel® Core™ processors
7th generation Intel® Core™ processors
8th generation Intel® Core™ processors
Intel® Core™ X-series Processor Family for Intel® X99 platforms
Intel® Core™ X-series Processor Family for Intel® X299 platforms
Intel® Xeon® processor 3400 series
Intel® Xeon® processor 3600 series
Intel® Xeon® processor 5500 series
Intel® Xeon® processor 5600 series
Intel® Xeon® processor 6500 series
Intel® Xeon® processor 7500 series
Intel® Xeon® Processor E3 Family
Intel® Xeon® Processor E3 v2 Family
Intel® Xeon® Processor E3 v3 Family
Intel® Xeon® Processor E3 v4 Family
Intel® Xeon® Processor E3 v5 Family
Intel® Xeon® Processor E3 v6 Family
Intel® Xeon® Processor E5 Family
Intel® Xeon® Processor E5 v2 Family
Intel® Xeon® Processor E5 v3 Family
Intel® Xeon® Processor E5 v4 Family
Intel® Xeon® Processor E7 Family
Intel® Xeon® Processor E7 v2 Family
Intel® Xeon® Processor E7 v3 Family
Intel® Xeon® Processor E7 v4 Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor D (1500, 2100)
これは現時点で判明している情報なので、今後調査の進捗と共に状況が変化する可能性があります。
詳細はIntelのアナウンスを確認してください。
Intel製以外のCPUには影響しない
現時点でAMDなどIntel製以外のCPUは、本脆弱性の影響を受けないと考えられています。CVE
本脆弱性には、以下のCVEが割り当てられています。L1TFに関するドキュメント
「L1TF」に関するドキュメントは、以下を参照してください- L1 Terminal Fault (L1TF)(Ubuntu)
- L1TF - L1 Terminal Fault(Linux kernel)
- L1 Terminal Fault / CVE-2018-3615 , CVE-2018-3620,CVE-2018-3646 / INTEL-SA-00161(Intel)
脆弱性への対応
脆弱性への対応に関する情報です。1.BIOS/UEFIのアップデート
使用しているPCのベンダーやメーカーが、本件に対応した「BIOS」や「UEFI」を提供しているか確認してください。本件に対応した「BIOS」や「UEFI」は、アップデートされたIntelのマイクロコードを含んでいます。
「BIOS」や「UEFI」のアップデートが提供されている場合、ベンダーやメーカーの案内に従い「BIOS」や「UEFI」をアップデートしてください。
CPUのマイクロコードのアップデートがなくても、ソフトウェア的に本脆弱性の影響を軽減できますが、マイクロコードのアップデートが推奨されます。
2.Linux kernelのアップデート
本脆弱性の影響を軽減する「Linux kernel」がすでにリリースされています。「Linux kernel」のアップデートを行い、PCを再起動してください。
「CVE-2018-3615(SGX)」は「Intel Software Guard Extensions」に起因する脆弱性であり「Ubuntu」に影響しません。
また本脆弱性は「Linux kernel」のライブパッチでは対応できないため、「Linux kernel」をアップデートし、PCを再起動する必要があります。
3.intel-microcodeパッケージのアップデート
現在「Ubuntu」では、本脆弱性に対応する「intel-microcode」のリリースに向け作業を行っています。「intel-microcode」パッケージは、アップデートされたIntelのマイクロコードを提供するためのパッケージです。
CPUのマイクロコードのアップデートがなくても、ソフトウェア的に本脆弱性の影響を軽減できますが、マイクロコードのアップデートが推奨されます。
4.アップデートされたクラウドイメージの提供
「Ubuntu」は、アップデートされたクラウドイメージをビルドし、本脆弱性に対応したクラウドイメージを提供しています。つまりデスクトップユーザーはどうすれば良いのか
「Ubuntu(フレーバー含む)」を利用しているユーザーは、「ソフトウェアの更新」を起動し、すべてのパッケージ(ソフトウェア)をアップデートしてください。またすべてのアップデートを適用した後、PCを再起動してください。
もちろんサポートが切れた「Ubuntu」にアップデートは提供されないため、サポート切れの「Ubuntu」は利用しないでください。
また日々のアップデートが重要ですので、継続的に「ソフトウェアの更新」を起動し、すべてのパッケージ(ソフトウェア)をアップデートしてください。
加えて上記の「1.」の内容を確認し、「BIOS」や「UEFI」のアップデートを行ってください。
L1 Terminal Faultに影響を受けるCPUかどうか調べるには
現在利用しているCPUが「L1 Terminal Fault」に影響を受けるCPUかどうか調べる方法です。事前に「Linux kernel」のアップデートとPCの再起動を行っておきましょう。
「端末」を起動し、以下のコマンドを実行します。
cat /sys/devices/system/cpu/vulnerabilities/l1tf
影響を受けない場合
本脆弱性に影響を受けない場合、以下のように出力されます。
Not affected
ファイルが見つからない場合
以下のように「/sys/devices/system/cpu/vulnerabilities/l1tf」ファイルが見つからない場合、本脆弱性に対応した「Linux kernel」が動作していません。
cat: /sys/devices/system/cpu/vulnerabilities/l1tf: そのようなファイルやディレクトリはありません
「Linux kernel」のアップデートとPCを再起動した後、再度本内容を試してみてください。
