kledgeb UbuntuやLinuxの最新情報を紹介

Ubuntu 20.04 その80 - Intel CPUの脆弱性(SRBDS/Crosstalk)とUbuntuの対応方針

Intel CPUの脆弱性(SRBDS)とUbuntuの対応方針

「Intel CPU」の脆弱性(SRBDS/Crosstalk)と「Ubuntu」の対応方針の紹介です。


最新情報を入手するには

「SRBDS/Crosstalk」に関する最新情報や「Ubuntu」の対応方針び対応状況に関する最新情報は、以下を参照してください。

  • SRBDS

また「Intel」によるアナウンスは、以下を参照してください。

  • Special Register Buffer Data Sampling Advisory
  • Deep Dive: Special Register Buffer Data Sampling  
  • Special Register Buffer Data Sampling / CVE-2020-0543 / INTEL-SA-00232

ここで紹介する内容は、現時点での対応方針及び対応状況です。

SRBDS(Special Register Buffer Data Sampling)

ある特定の「Intel CPU」において、特殊レジスターのバッファーデータが同一CPU上で実行されている悪意あるプロセスに漏洩する問題が見つかりました。
この脆弱性は「Crosstalk」とも呼ばれています。

「RDRAND」や「RDSEED」といった特定の命令は、物理CPUコアの外側からデータを取得して使用します。
これは特殊レジスターリードと呼ばれる内部マイクロアーキテクチャー操作を経由して実行されます。
この時共有されたステージングバッファーの一部を使用しますが、このバッファーがその後他のスレッドによって使用される時に完全にクリアされていないことがあります。

攻撃者はこの性質を利用し他のコアから特殊レジスターを読み取り、以前共有ステージングバッファーに保持されていたデータを読み取り、機密情報を推測できる可能性があります。
「RDRAND」「RDSEED」「SGX EGETKEY」といった特殊レジスターリードの中には機密情報が含まれたままデータを取得できるものもあり、攻撃者は同一CPU上で悪意あるコードを実行することで、同一CPUの他のスレッドやコアから機密情報を推測できる可能性があります。

この攻撃手法は以前発見された「MDS」や「TSX Asynchronous Abort」と同じ方法に依存した攻撃手法です。

影響を軽減する緩和策

「Ubuntu」において本脆弱性の緩和策は、「Intel Microcode(intel-microcodeパッケージ)」のアップデートにより実現されます。

「Intel Microcode」では、複数の論理コアにまたぐ「RDRAND」等の命令をシリアライズし、「RDRAND」や「RDSEED」、「EGETKEY」命令実行時に共有ステージングバッファー内のデータを上書きすることで、影響を軽減します。

この結果これらの命令実行時にパフォーマンスが低下します。
もしどうしてもパフォーマンスへの影響が看過できない場合は、「Linux kernel」のコマンドラインに「srbds=off」を指定してください。

  • Hardware vulnerabilities 
  • Linux Kernel Special Register Buffer Data Sampling Admin Guide

「Linux kernel」の場合、「/dev/urandom」デバイスや「getrandom()」システムコールを経由して「RDRAND」や「RDSEED」の出力を取得し、セキュアランダムナンバーの生成に使用しています。
さらに取得した値は安全な方法を用い、他のエントロピーのソースと混ぜ実際の値を生成しています。
これらの処理を経て秘密鍵の生成やその他機密データをアプリケーションに提供しています。
アプリケーションが直接「RDRAND」や「RDSEED」命令を使用して機密データを生成しない限り、攻撃者が実際の値を推測することは困難です。

影響を受けるCPU

本脆弱性に影響を受けるCPUの詳細は、以下を参照してください。

  • Processors Affected: Special Register Buffer Data Sampling

Ubuntuの対応方針

「Ubuntu」では、本脆弱性を軽減する「Intel Microcode」パッケージのアップデートをリリースしています。
この対応は「Intel IPU 2020.1」で行われています。

OS Intel Microcodeのパッケージバージョン
Ubuntu 20.04 LTS intel-microcode 3.20200609.0ubuntu0.20.04.0
Ubuntu 19.10 intel-microcode 3.20200609.0ubuntu0.19.10.0
Ubuntu 18.04 LTS intel-microcode 3.20200609.0ubuntu0.18.04.0
Ubuntu 16.04 LTS intel-microcode 3.20200609.0ubuntu0.16.04.0
Ubuntu 14.04 ESM intel-microcode 3.20200609.0ubuntu0.14.04.0
Ubuntu 12.04 ESM 対応しない。
ベンダーに本脆弱性に対応したBIOSの
アップデートがないか問い合わせてください。

すでにアップデートがリリースされているので、「ソフトウェアの更新」を起動して「Intel Microcode」と「Linux kernel」をアップデートしてください。
またアップデート後、アップデートを反映するためにPCを忘れずに再起動してください。

Ubuntu
スポンサー
コメント
コメントポリシー
コメントをする前に UbuntuのCode of Conduct(CoC/行動規範) を確認し、CoCに沿ったコメントをお願いします。
コメントの使い方は、コメントの使い方を参照してください。
同一カテゴリーの記事
SNS
人気の記事
  • Ubuntu 22.04 その98 - 入力ソースとキーボートレイアウトと日本語入力のカスタマイズ
    入力ソースとキーボートレイアウトと日本語入力 「Ubuntu」ではユーザーが利用しているキーボードレイアウトや日本語入力のカスタマイズが可能です。
  • Ubuntu 22.04 LTSのインストール その5 - UEFI環境でパーティションの作成と構成 〜 ブートローダーのインストール先の選択
    UEFI環境でパーティションの作成と構成を行う UEFI環境でパーティションの作成と構成を行います。
  • Ubuntu 22.04 その120 - UbuntuのブートローダーをBoot Repairで修復するには・Ubuntuが起動しないトラブルを解決
    UbuntuのブートローダーをBoot Repairで修復するには 「Boot Repair」はOSのブートローダーに起因するOSが起動しない問題を簡単に解決してくれるアプリです。
  • Ubuntu 22.04 その79 - 画面ロックの有効・無効を設定するには・画面ロック時の設定をカスタマイズするには
    画面ロックの有効・無効を設定するには 一定時間ユーザーによる操作がない時に、自動的に画面をロックしパスワードで保護したり、画面をブランク状態にできます。
  • Ubuntu 22.04 その95 - ディスプレイサーバーを切り替えるには・XorgとWayland
    ディスプレイサーバーを切り替えるには 「Ubuntu」はデフォルトで2種類のディスプレイサーバーを提供しています。
  • .NET その165 - .NET Core 3.1.19がリリースされました・.NET Core 3.1をインストールするには
    .NET Core 3.1.19がリリースされました 2021年9月14日、「.NET Core 3.1.19」がリリースされました。
  • VirtualBox その125 - ゲストOSのUbuntuにLinux Guest Additionsをインストールするには
    ゲストOSのUbuntuにLinux Guest Additionsをインストールするには 仮想マシンにインストールしたゲストOSの「Ubuntu」に、「Linux Guest Additions」をインストールする方法です。
  • Ubuntuのバージョンと開発コードの対応表
    UbuntuのバージョンとUbuntuの開発コード 「Ubuntu」には各バージョンごとに開発コードが設定されます。
  • Ubuntu 22.04 その64 - Windows/Linux/macOSでUbuntu 22.04 LTSのライブUSBメモリーを作るには
    Ubuntu 22.04 LTSのライブUSBメモリーを作る方法 Windows/Linux/macOSでPC向け「Ubuntu 22.04 LTS」のライブUSBメモリーを作る方法を紹介します。
  • Ubuntu 22.04 その107 - ローカルネットワーク上でフォルダーやファイルを共有するには
    ローカルネットワーク上でフォルダーやファイルを共有するには 「ファイル(Nautilus)」アプリはファイルマネージャーです。 「ファイル」はローカルネットワーク上でフォルダーやファイルを共有する仕組みを提供しており、簡単に他のPCとフォルダーやファイルをやりとりできます。
記事のピックアップ
オプション