Intel プロセッサの「L1 Terminal Fault」(L1TF) 投機的実行の脆弱性に対する VMware の対応の概要 CVE-2018-3646、CVE-2018-3620、CVE-2018-3615
search cancel

Intel プロセッサの「L1 Terminal Fault」(L1TF) 投機的実行の脆弱性に対する VMware の対応の概要 CVE-2018-3646、CVE-2018-3620、CVE-2018-3615

book

Article ID: 323333

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

この記事の目的は、Intel プロセッサを VMware 製品に適用したときに、投機的実行に関連して発生するセキュリティ問題の概要を示すことです。CVE-2018-3646 (L1 Terminal Fault - VMM)、CVE-2018-3620 (L1 Terminal Fault - OS)、および CVE-2018-3615 (L1 Terminal Fault - SGX) を参照してください。 これらの問題に対応するためには複数のドキュメントが必要となるため、この記事では、問題に関わる情報源を集約しています。

関連するドキュメントのいずれかに大幅な変更がある場合、この記事の「更新履歴」セクションが更新されます。 このドキュメントに新しい情報が追加されたときに通知を受け取るには、[Actions] ボックスの [Subscribe to Article] をクリックしてください。新規および更新された VMware Security Advisories を受け取るには、Security-Announce mailing list にご登録ください。

バックグラウンド

投機的実行の脆弱性について理解しやすくするために、VMware は以前に KB52245 および KB54951 で次のカテゴリを定義しました。次に、これらの 4 つのカテゴリの概要を示します。
  • ハイパーバイザー固有の軽減策:ハイパーバイザーまたはゲスト仮想マシンから悪意のあるゲスト仮想マシンへの情報の漏洩を防止します。 これらの軽減策を行うには、VMware 製品のコードを変更する必要があります。
  • ハイパーバイザーアシスト ゲストの軽減策:ゲスト仮想マシンの投機的実行に関する新しいハードウェア制御メカニズムを仮想化して、ゲスト OS が仮想マシン内のプロセッサ間の漏洩を軽減できるようにします。 これらの軽減策を行うには、VMware 製品のコードを変更する必要があります。
  • オペレーティング システム固有の軽減策:ゲスト OS に適用されます。 これらの更新は、サードパーティ ベンダーから提供されます。VMware の仮想アプライアンスを使用している場合は、VMware から提供されます。
  • マイクロコードによる軽減策:ハードウェア ベンダーからのマイクロコードの更新によって、システムのプロセッサに適用されます。 これらの軽減策では、ハイパーバイザーまたはゲスト OS の更新を有効にする必要はありません。

現在の投機的実行問題の軽減策に関するカテゴリの概要            CVE-2018-3646 の軽減策では、Intel ハードウェアで実行されているホストに対してハイパーバイザー固有の軽減策を行う必要があります。             CVE-2018-3620 の軽減策では、オペレーティング システム固有の軽減策を行う必要があります。            CVE-2018-3615 は VMware の製品またはサービスに影響を及ぼしません。 詳細については、KB54913 を参照してください。

Resolution

CVE-2018-3646 (L1 Terminal Fault - VMM)

ハイパーバイザー固有の軽減策

VMware は、CVE-2018-3646 用のハイパーバイザー固有の軽減策を提供しています。 AMD プロセッサは影響を受けません。 製品固有の軽減策に関する手順または脆弱性分析については、次のナレッジベースの記事を参照してください。
CVE-2018-3620 (L1 Terminal Fault - OS)

オペレーティング システム向けの軽減策

VMware は、CVE-2018-3620 が仮想アプライアンスに与える可能性のある影響について調査しました。 影響を受けない仮想アプライアンスのリストを含む、この調査の詳細については、KB55807 を参照してください。

インストール可能な Windows または Linux バイナリとして提供されている製品には直接的な影響はありません。ただし、これらの製品がインストールされているそれぞれのオペレーティング システム ベンダーのパッチを適用しなければならない可能性があります。 VMware では、サードパーティのオペレーティング システム ベンダーに問い合わせて、CVE-2018-3620 の軽減策に適した対応策を特定することをお勧めします。 この問題は、VMware SaaS サービス内で実行されているユーザー制御環境に適用されることがあります。KB55808 を確認してください。