Ubuntuが新たなMicroarchitectural Data Sampling(MDS)の脆弱性を緩和するアップデートを実施

by Canonical on 27 May 2019

Ubuntu updates to mitigate new Microarchitectural Data Sampling (MDS) vulnerabilities

Microarchitectural Data Sampling(MDS)は、各種Intel製マイクロプロセッサにおける一連の脆弱性(CVE-2018-12126、CVE-2018-12127、CVE-2018-12130およびCVE-2019-11091)であり、悪意あるプロセスが、同じCPUコアで実行中の他のプロセスからさまざまな情報を読み取ることを可能にするものです。この脆弱性は、CPUコア内のさまざまなマイクロアーキテクチャエレメント(バッファ)の使用が原因で発生しています。あるひとつのプロセスがこれらのバッファからデータを投機的にサンプリングできる場合、プロセス間の切り替え時にこれらのバッファがクリアされないため、その内容を推測し、他のプロセスに属しているデータを読み取ることができます。これには、2つの異なるユーザ空間プロセスでの切り替え、カーネルとユーザ空間の間での切り替え、仮想化を使用中のホストとゲストの間での切り替えが挙げられます。

単一のCPUスレッドに対してスケジュールされたシングルプロセスの場合は、そのCPUスレッドへ新しい処理をスケジューリングする際にこれらのバッファをクリアすることで、比較的簡単にこの脆弱性を緩和できます。この緩和策を行えるように、Intelはアップデートされたマイクロコードをリリースしました。このマイクロコードとLinuxカーネルに対する変更を組み合わせることで、これらのバッファは適切にクリアされます。

アップデート版のIntel製マイクロコード、qemu、およびLinuxカーネルパッケージは、Ubuntuリリース16.04 LTS、18.04 LTS、18.10、19.04に対する標準のUbuntuセキュリティメンテナンスの一部として、およびUbuntu 14.04 ESMユーザ向けの延長セキュリティメンテナンスの一部として公開されます。これらの脆弱性は、非常に広範囲のIntel製プロセッサ(ノートPC、デスクトップPC、サーバー機器)に影響があるため、Ubuntuユーザの大部分が影響を受けることが予想されます。ユーザには、上記のアップデートされたパッケージが提供された時点ですぐにインストールすることをお勧めします。

ハイパースレッディングとも呼ばれる同時マルチスレッディング(SMT)を使用することで、これらのバッファが兄弟関係のハイパースレッド間で共有されるため、問題はさらに複雑になります。そのため、SMTが有効化されている場合は、上述の変更は今回の脆弱性の緩和には不十分となります。そのため、信頼できないコードやアプリケーションの実行時は、SMTの使用をお勧めしません。
これらの脆弱性を緩和する個別のパッケージのバージョン、また任意でSMTを無効化する方法などの詳細は、Ubuntu Security Knowledge Base内のこちらの記事(英語)をご覧ください。

関連記事

MAASにおけるマルチテナンシー

本ブログでは、MAAS(Metal as a Service)におけるマルチテナンシーの概念について説明します。マルチテナンシーにより、オペレーターは複数の異なるユーザーグループに対して、他のユーザーグループについて一切関知することなしに1つのリソース(マシン)グループを提供できるため、マシンの稼働率が向上します。 一般に、中規模から大規模の環境は、ユーザーやユーザーグループごとに異なるマシン群を提供する目的で使用されます。MAASではもともと、ユーザーが将来使用するマシンを予約(割当)できるようにすることで、この用途に対応していました。しかし、MAAS 2.4でリソースプールの概念を導入しました。 リソースプールとロールベースアクセス制御 リソースプールとは、物理リソー […]

SBIグループがセキュアなオンプレミス型のOpenStackクラウドによりインフラ自動化を推進

SBI BITSは、日本の大手金融サービス企業であるSBIグループにITサービスとインフラを提供しています。SBIグループは250社以上、6,000人を超えるの従業員で構成されています。 製品化までの時間短縮とクライアントからの高い要求に対応するため、ベアメタルサーバーに代わるソリューションを模索していたSIB BITSは、OpenStackの採用を決めました。当初は既存のサプライヤーを検討しましたが、経済的で柔軟性のあるソリューションで本稼働に移行するために、外部サポートおよび専門性を備えたCanonicalを選択しました。 CanonicalのOpenStackにはロックインのリスクがありません。アップストリームバージョンに近いため、こちらが望めばサポートの完全な内製 […]

Yahoo! JAPAN、Canonicalとプライベートクラウドの構築で協業

ヤフー株式会社は、Yahoo!とソフトバンクの合弁事業として設立された、国内で最も人気の高いインターネット広告、検索エンジン、ECサイトのひとつで、6,000人を超える従業員を擁しています。 非常に大規模で多数のユーザーを抱えていることから、ヤフーは自社のIaaS(Infrastructure as a Service:サービスとしてのインフラストラクチャ)ソリューションとOSS分散ストレージソリューションを構築するために外部の協力を必要としました。2013年、ヤフーはCanonicalに協力を求め、それ以降両社は協力関係を育んできました。 予期しない障害発生時はOSレイヤーまで調査しなければなりませんが、その際にプロフェッショナルへ問い合わせできるのは大きい。ここまで手 […]