Ubuntuが新たなMicroarchitectural Data Sampling(MDS)の脆弱性を緩和するアップデートを実施

Ubuntu updates to mitigate new Microarchitectural Data Sampling (MDS) vulnerabilities
Ubuntu updates to mitigate new Microarchitectural Data Sampling (MDS) vulnerabilities

Microarchitectural Data Sampling(MDS)は、各種Intel製マイクロプロセッサにおける一連の脆弱性(CVE-2018-12126、CVE-2018-12127、CVE-2018-12130およびCVE-2019-11091)であり、悪意あるプロセスが、同じCPUコアで実行中の他のプロセスからさまざまな情報を読み取ることを可能にするものです。この脆弱性は、CPUコア内のさまざまなマイクロアーキテクチャエレメント(バッファ)の使用が原因で発生しています。あるひとつのプロセスがこれらのバッファからデータを投機的にサンプリングできる場合、プロセス間の切り替え時にこれらのバッファがクリアされないため、その内容を推測し、他のプロセスに属しているデータを読み取ることができます。これには、2つの異なるユーザ空間プロセスでの切り替え、カーネルとユーザ空間の間での切り替え、仮想化を使用中のホストとゲストの間での切り替えが挙げられます。

単一のCPUスレッドに対してスケジュールされたシングルプロセスの場合は、そのCPUスレッドへ新しい処理をスケジューリングする際にこれらのバッファをクリアすることで、比較的簡単にこの脆弱性を緩和できます。この緩和策を行えるように、Intelはアップデートされたマイクロコードをリリースしました。このマイクロコードとLinuxカーネルに対する変更を組み合わせることで、これらのバッファは適切にクリアされます。

アップデート版のIntel製マイクロコード、qemu、およびLinuxカーネルパッケージは、Ubuntuリリース16.04 LTS、18.04 LTS、18.10、19.04に対する標準のUbuntuセキュリティメンテナンスの一部として、およびUbuntu 14.04 ESMユーザ向けの延長セキュリティメンテナンスの一部として公開されます。これらの脆弱性は、非常に広範囲のIntel製プロセッサ(ノートPC、デスクトップPC、サーバー機器)に影響があるため、Ubuntuユーザの大部分が影響を受けることが予想されます。ユーザには、上記のアップデートされたパッケージが提供された時点ですぐにインストールすることをお勧めします。

ハイパースレッディングとも呼ばれる同時マルチスレッディング(SMT)を使用することで、これらのバッファが兄弟関係のハイパースレッド間で共有されるため、問題はさらに複雑になります。そのため、SMTが有効化されている場合は、上述の変更は今回の脆弱性の緩和には不十分となります。そのため、信頼できないコードやアプリケーションの実行時は、SMTの使用をお勧めしません。
これらの脆弱性を緩和する個別のパッケージのバージョン、また任意でSMTを無効化する方法などの詳細は、Ubuntu Security Knowledge Base内のこちらの記事(英語)をご覧ください。

Posted in: