投機的実行に伴う CPU 脆弱性 (Spectre / Meltdown) の影響について
*以下は、サポート契約締結中のお客さまに毎月配信しているサポートレターより一部抜粋して掲載しています。
Spectre / Meltdown とは
Spectre と Meltdown は、いずれも CPU の投機的実行機能に付随するセキュリティ脆弱性の通称で、以下の CVE 番号が対応しています。
Spectre : CVE-2017-5753, CVE-2017-5715
Meltdown : CVE-2017-5754
Spectre はほぼすべての CPU、Meltdown は Intel 製 CPU の大半、ARM 製 CPU の一部が影響を受けるとされており、対象機器が極めて多くなることから大きな反響を呼んでおり、弊社 Oracle 製品サポートにも複数のお問い合わせを頂いています。
投機的実行機能とは、CPU の性能最適化のために将来的に必要となる可能性のある処理を予測し、先んじて結果を取得しておく機能全般を指すものです。通常 CPU の計算資源は常時演算要求に対してフル稼働しているわけではなく、「暇な」リソースが存在しているタイミングが存在しますが、このタイミングで将来実行される処理の結果を計算できれば、実際に演算要求が発生した際に(演算を省略して)瞬時に結果を返せるため、大幅な性能向上が実現可能となります。
予め行っておいた演算が不要であった場合には結果が使用されないまま破棄されるため、容易に推測できるように、投機的実行の有効性は予測の精度に大きく左右されます。分岐予測等、各種の予測機能に関する詳細や具体的な実装については本文書の主旨から外れるため割愛いたしますが、「予測して結果を得ておく」には現在実行されている以外の処理に関する情報をカーネルメモリ上にキャッシュする必要があります。それぞれの脆弱性はこのキャッシュを処理する際のセキュリティホールを突いて、機密情報を含む(本来実行ユーザーが読み取りを許可されない)任意のメモリ情報を取り出しうるものです。
※ 詳細については、セキュリティベンダー等から公開されている情報等をご確認ください。
Spectre と Meltdown は CPU の脆弱性ですが、投機的実行機能に内在する本質的な問題のため、簡単には対処できず、現時点では OS 以上のレイヤーでも対策が実装されています。
次項以降では、各種アプライアンス製品を含めた Oracle 社製品への影響について説明していきます。
Oracle 社からの公開情報
Spectre と Meltdown については、Oracle 社より専用のドキュメントが発行され、影響調査の進行状況およびパッチの提供状況が継続的に更新されています。
-
Addendum to the January 2018 CPU Advisory for Spectre and Meltdown
(ドキュメントID 2347948.1)
https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=2347948.1
こちらの文書は頻繁に更新がかかっておりますので、定期的にチェック頂くことがお奨めです。
なお、Oracle 社では(Spectre と Meltdown だけでなく)セキュリティ脆弱性に対する安全確保のため、全てのお客様に共通で公開されている以外の内部的な情報を一切提供していません。これは、お客様によって入手できる情報が差別化されることで、一部のお客様環境が大きなリスクに晒されることを防ぐ目的によるものです。
お客様から弊社サポートに個別にお問い合わせを頂いた場合、本トピックに紹介されている以上の内部情報をお伝えすることはできませんので、この点ご留意ください。
アプライアンス製品への影響
脆弱性を持つ CPU 上で稼働する Oracle Linux, Oracle VM, Oracle VM VirtualBox で攻撃が可能とされているため、これらの製品を使用する Exadata 等のアプライアンス製品でも影響が発生しえます。
これらの製品については、OS / ファームウェアカーネルのアップデートが用意されていますので、対処の必要な環境については適用をご検討ください。
具体的には、2018/2/23 時点で以下の製品群が影響を受けるものとされ、対処のためのアップデートが提供されています。
- Oracle Big Data Appliance
- Oracle Exadata Database Machine
- Oracle Exalogic Elastic Cloud
- Oracle X86 Servers
- Zero Data Loss Recovery Appliance Software
OS レイヤー製品への影響
前述のように、OS レイヤー製品である Oracle Linux, Oracle VM, Oracle VM VirtualBox上で攻撃が可能とされています。このため、これらの製品を前提として稼働するものを含めた製品群において脆弱性の影響を受けることとなります。
アプライアンス製品と同様、OS / ファームウェアカーネルのアップデートが用意されていますので、対処の必要な環境については適用をご検討ください。
具体的には、2018/2/23 時点で以下の製品群が影響を受けるものとされ、対処のためのアップデートが提供されています。
- Oracle Audit Vault and Database Firewall
- Oracle Linux
- Oracle VM
- Oracle VM VirtualBox
ソフトウェア製品への影響
CPU の脆弱性という性質上、Spectre と Meltdown に対して OS レイヤーより上のソフトウェア製品群が直接的な影響を受けることはありませんが、脆弱性に対する攻撃がソフトウェアを介して実行されることは起こりえます。
2018/2/23 時点で、ソフトウェア製品群は上記の Oracle 社公開ドキュメントにおいて「今後パッチが提供される可能性のある製品」、「影響を調査中の製品」、「影響を受けない製品」の 3 つに区分されており、対処のためのアップデートが既に提供されている製品は確認されていません。
今後パッチが提供される可能性のある製品をお使いのお客様は、最新の動向を定期的にご確認頂くことをお奨めします。
なお、最もお使い頂いているお客様の多い Oracle Database 製品については、Spectre と Meltdown の影響を受けないとの結論が既に出ております。
まとめ
Spectre と Meltdown は多くのサーバ機器が対象となる脆弱性であり、外部からの接続が可能な環境においては攻撃を受ける懸念があります。
アプライアンス製品を含む Oracle 製品も影響を受ける可能性があります。すでに対処用のアップデートが提供される製品をお使いのお客様は適用の検討を、今後パッチが提供される可能性のある製品をお使いのお客様は今後の動向チェックをご検討ください。
(オラクル事業部 サポート・サービス担当 佐藤)