Ubuntuが新たなMicroarchitectural Data Sampling(MDS)の脆弱性を緩和するアップデートを実施
by Canonical on 27 May 2019
Microarchitectural Data Sampling(MDS)は、各種Intel製マイクロプロセッサにおける一連の脆弱性(CVE-2018-12126、CVE-2018-12127、CVE-2018-12130およびCVE-2019-11091)であり、悪意あるプロセスが、同じCPUコアで実行中の他のプロセスからさまざまな情報を読み取ることを可能にするものです。この脆弱性は、CPUコア内のさまざまなマイクロアーキテクチャエレメント(バッファ)の使用が原因で発生しています。あるひとつのプロセスがこれらのバッファからデータを投機的にサンプリングできる場合、プロセス間の切り替え時にこれらのバッファがクリアされないため、その内容を推測し、他のプロセスに属しているデータを読み取ることができます。これには、2つの異なるユーザ空間プロセスでの切り替え、カーネルとユーザ空間の間での切り替え、仮想化を使用中のホストとゲストの間での切り替えが挙げられます。
単一のCPUスレッドに対してスケジュールされたシングルプロセスの場合は、そのCPUスレッドへ新しい処理をスケジューリングする際にこれらのバッファをクリアすることで、比較的簡単にこの脆弱性を緩和できます。この緩和策を行えるように、Intelはアップデートされたマイクロコードをリリースしました。このマイクロコードとLinuxカーネルに対する変更を組み合わせることで、これらのバッファは適切にクリアされます。
アップデート版のIntel製マイクロコード、qemu、およびLinuxカーネルパッケージは、Ubuntuリリース16.04 LTS、18.04 LTS、18.10、19.04に対する標準のUbuntuセキュリティメンテナンスの一部として、およびUbuntu 14.04 ESMユーザ向けの延長セキュリティメンテナンスの一部として公開されます。これらの脆弱性は、非常に広範囲のIntel製プロセッサ(ノートPC、デスクトップPC、サーバー機器)に影響があるため、Ubuntuユーザの大部分が影響を受けることが予想されます。ユーザには、上記のアップデートされたパッケージが提供された時点ですぐにインストールすることをお勧めします。
ハイパースレッディングとも呼ばれる同時マルチスレッディング(SMT)を使用することで、これらのバッファが兄弟関係のハイパースレッド間で共有されるため、問題はさらに複雑になります。そのため、SMTが有効化されている場合は、上述の変更は今回の脆弱性の緩和には不十分となります。そのため、信頼できないコードやアプリケーションの実行時は、SMTの使用をお勧めしません。
これらの脆弱性を緩和する個別のパッケージのバージョン、また任意でSMTを無効化する方法などの詳細は、Ubuntu Security Knowledge Base内のこちらの記事(英語)をご覧ください。
ニュースレターのサインアップ
関連記事
CentOSのサポート終了(EOL)– Cephストレージへの影響は?
暗闇から光の中へ、新たな前進 2020年に、CentOS ProjectはCentOS Streamのみに注力することを発表しました。つまりCentOS 7がRed Hat Enterprise Linuxと共通性を持つ最後のリリースです。2024年6月30日のCentOS 7のサポート終了(EOL)により、OSのセキュリティ更新、パッチ、新機能のリリースがなくなります。 このバージョンのCentOSにCephをデプロイすると、将来の困難は見えています。EOLの課題を切り抜ける方法はいくつかありますが、それぞれに短所があります。 リスク 何もしなければ、デプロイメントが古くなるにつれてCephの新しいバージョンにアップグレードする道がなくなり、新しい機能を得られなくなりま […]
PostgreSQLをAIに活用
AIを扱うことはデータを扱うこと。数値データから動画や画像まで、業界や用途を問わず、AIプロジェクトは何らかの形でデータに依存します。問題は、そのデータをどうやって効率的に保管し、モデルを構築する際に使用するかです。解決策の1つは、実績があり、愛好者の多いデータベースであるPostgreSQLです。近年の開発により、AIをサポートする有力な選択肢になっています。 PostgreSQLを選ぶべき理由 PostgreSQLはオープンソースで高機能のデータベースシステムです。外部キー、サブクエリ、トリガーのほか、さまざまなユーザー定義型や関数をサポートしています。近年はデータベース分野で人気を高め、2023年には年間最優秀データベース管理システム(DBMS)に選出されました。 […]
CanonicalがUbuntu 14.04 LTS以降の長期サポートを12年間に延長
Canonicalは本日、Ubuntu ProアドオンとしてLegacy Supportの一般提供を発表しました。これによりUbuntu LTSリリースのセキュリティ更新とサポート期間が12年間に延長されます。アドオンの対象はUbuntu 14.04 LTS以降です。 長期サポートのUbuntuリリースには、mainリポジトリに対する5年間のセキュリティメンテナンスが標準で付属します。Ubuntu Proは、mainリポジトリとuniverseリポジトリの両方に10年間のメンテナンスを提供し、企業にもエンドユーザーにも安全なオープンソースソフトウェアを幅広く提供します。このサブスクリプションは電話およびチケットによるサポートも含みます。Ubuntu Proの有償契約者のお […]