VMware製品へのSpectre/Meltdown脆弱性の影響
概要
VMware社からナレッジ「VMware Response to Speculative Execution security issues, CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 (aka Spectre and Meltdown) (52245)」が発行されている。
2018年1月9日更新版の情報として、ESXi、Workstation、Fusionなどのハイパーバイザ製品、Photon OSなどのゲストOS製品、vCenter Server Applianceなどの仮想アプライアンス製品がMeltdown/Spectre脆弱性の影響を受けるとされている。また一部製品にはパッチ等が提供開始されている。
下記情報から現時点でvSphere環境については、VMSA-2018-0004の対応手順(「仮想アプライアンスについて」項記載)に沿って、vCenterの更新、ESXiの最新パッチバンドルの適用、仮想マシンの仮想ハードウェアバージョンの確認を行い、vCenter Server Applianceを使用している場合は今後の更新を確認していくことが必要と思われる。
詳細
VMware製品への影響や対策は、ナレッジベースおよびセキュリティアドバイザリで確認する。以下に2018年1月9日時点で確認できた範囲で情報をまとめる。
背景
2018年1月3日に、GoogleのProject Zeroが「Reading privileged memory with a side-channel」でCPU脆弱性を公表した。これは以下の3つの脆弱性が含まれている。
- Variant 1(CVE-2017-5753、通称Spectre):境界チェックのバイパス
- Variant 2(CVE-2017-5715、通称Spectre):分岐ターゲットのインジェクション
- Variant 3(CVE-2017-5754、通称Meltdown):不正なデータのキャッシュ読み込み
JVNにも「JVNVU#93823979: 投機的実行機能を持つ CPU に対するサイドチャネル攻撃」として掲載されている。
VMware社からの発信情報
SpectreおよびMeltdown脆弱性のVMware製品への影響については、VMware社からナレッジが発行されている。
- KB 52245: VMware Response to Speculative Execution security issues, CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 (aka Spectre and Meltdown
VMware社は「OS、仮想マシン、仮想アプライアンス、ハイパーバイザ、サーバーファームウェア、CPUマイクロコードのすべてがこれら既知の各脆弱性に対してパッチ適用ないしアップグレードされる必要がある」としている。
Operating systems (OS), virtual machines, virtual appliances, hypervisors, server firmware, and CPU microcode must all be patched or upgraded for effective mitigation of these known variants. (KB 52245, 2018/01/09)
VMware社の提供範囲になる仮想マシン、仮想アプライアンス、ハイパーバイザ、VMware社が提供するOS(Photon OS)、VMware社が提供するSaaSでの影響と対応策は、このナレッジおよびリンク先から確認できる。
ハイパーバイザ製品(ESXi、Workstaion、Fusion)について
ハイパーバイザ製品ESXi、Workstaion、Fusionは、Variant 1および2(Spectre)の影響を受けるが、Variant 3(Meltdown)については既知のサンプルコードでは影響受けなかったとしている。
VMware’s hypervisor products are affected by the known examples of variant 1 and variant 2 vulnerabilities and do require the associated mitigations. Known examples of variant 3 do not affect VMware hypervisor products. (KB 52245, 2018/01/09)
確認結果および対応策は以下のセキュリティアドバイザリにまとめられている。
- VMSA-2018-0002.1 - VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution.
下表のようにまとめられており、該当製品はパッチ適用ないし更新版適用が対応策となる(VMSA-2018-0002.1, 2018/01/03)。
| 製品名 | バージョン | 実行環境 | 重要度 | パッチ/修正済み更新版 | 軽減策/暫定策 |
|---|---|---|---|---|---|
| ESXi | 6.5 | すべて | 重要 | ESXi650-201712101-SG | なし |
| ESXi | 6.0 | すべて | 重要 | ESXi600-201711101-SG | なし |
| ESXi | 5.5 | すべて | 重要 | ESXi550-201801401-BG | なし |
| Workstation | 14.x | すべて | 影響なし | 影響なし | 影響なし |
| Workstation | 12.x | すべて | 重要 | 12.5.8 | None |
| Fusion | 10.x | OS X | 影響なし | 影響なし | 影響なし |
| Fusion | 8.x | OS X | 重要 | 8.5.9 | None |
一般的なゲストOSについて
ゲストOSには、各OSベンダからの対策が必要としている。
Mitigations for Operating Systems(OSes) are provided by your OS Vendors. (KB 52245, 2018/01/09)
ただしゲストOSからSpectre対策としてCPU制御を行うために、前提として仮想マシンでもそのメカニズムが必要で、そのためのハイパーバイザ支援機能が提供される。
It virtualizes the new speculative-execution control mechanism for guest VMs so that a Guest OS can mitigate leakage between processes within the VM. (KB 52245, 2018/01/09)
必要な対応策は以下のセキュリティアドバイザリにまとめられている。
- VMSA-2018-0004.1 - VMware vSphere, Workstation and Fusion updates add Hypervisor-Assisted Guest Remediation for speculative execution issue
まずVMwareに関しては以下が推奨事項となっている(VMSA-2018-0004, 2018/01/10)。
- vCenterを使用している場合、下表のバージョンに更新する
- ESXiは下表のパッチを適用、WorkstationおよびFusionは下表の版数に更新する
- 仮想マシンがすべて仮想ハードウェアバージョン9以上であることを確認する(ベストパフォーマンスのためには11以上を推奨する)。
次にサードパーティーについては以下が推奨事項となっている(VMSA-2018-0004.1, 2018/01/10)。
- CVE-2017-5715に対応したOSパッチを適用する。入手先はOSベンダとなる。
- CPUマイクロコードを更新する。このマイクロコードはハードウェアプラットフォームベンダーから入手できるが、VMwareも下表のESXiパッチでINTELとAMDの各版数のマイクロコードを提供している。
各製品の対応済みパッチ/バージョンは、下表のようにまとめられている(VMSA-2018-0004.1, 2018/01/10)。
| 製品名 | バージョン | 実行環境 | 重要度 | パッチ/修正済み更新版 | 軽減策/暫定策 |
|---|---|---|---|---|---|
| vCenter | 6.5 | すべて | 重要 | 6.5 U1e* | なし |
| vCenter | 6.0 | すべて | 重要 | 6.0 U3d* | なし |
| vCenter | 5.5 | すべて | 重要 | 5.5 U3g* | なし |
| ESXi | 6.5 | すべて | 重要 | ESXi650-201801401-BG ESXi650-201801402-BG** | なし |
| ESXi | 6.0 | すべて | 重要 | ESXi600-201801401-BG ESXi600-201801402-BG** | なし |
| ESXi | 5.5 | すべて | 重要 | ESXi550-201801401-BG** | なし |
| Workstation | 14.x | すべて | 重要 | 14.1.1 | なし |
| Workstation | 12.x | すべて | 重要 | 12.5.9 | なし |
| Fusion | 10.x | OS X | 重要 | 10.1.1 | なし |
| Fusion | 8.x | OS X | 重要 | 8.5.10 | なし |
仮想アプライアンスについて
仮想アプライアンスについては、それぞれ使用しているOSでの対応が、仮想アプライアンスベンダーから提供される必要がある。VMware社の仮想アプライアンスについては、以下のナレッジが提供されている。
- KB 52264 - VMware Virtual Appliances and CVE-2017-5753, CVE-2017-5715 (Spectre), CVE-2017-5754 (Meltdown)
以下の製品は本脆弱性の影響を受ける。更新が予定されているが、その際には事前に「一般的なゲストOSについて」に記載の対応が必要になる。
vSECR has evaluated the following appliances and determined that they may be affected by CVE-2017-5753, CVE-2017-5715, or CVE-2017-5754. When updates are available for these products they will require Hypervisor-Assisted Guest Mitigations described in KB52245 in order to mitigate CVE-2017-5715. (KB 52264, 2018/01/09)
- VMware Identity Manager(ワークアラウンド KB 52284)
- VMware vCenter Server 6.5
- VMware vCenter Server 6.0
- VMware vSphere Integrated Containers
- VMware vRealize Automation
以下の製品は、本脆弱性の影響を受けない。
vSECR has completed evaluation of the following appliances and determined that under supported configurations they are not affected because there is no available path to execute arbitrary code without administrative privileges. (KB 52264, 2018/01/09)。
- VMware Horizon DaaS Platform
- VMware Integrated OpenStack
- VMware NSX for vSphere
- VMware Unified Access Gateway
- VMware vCenter Server 5.5
- VMware vRealize Log Insight
- VMware vRealize Operations
- VMware vRealize Orchestrator
Photon OSについて
VMware社が提供しているゲストOS製品として、Photon OSについては、現時点で以下のセキュリティアドバイザリが発行されている。
SaaS(Air-Watch、VMware Horizon Cloud、VMware Cloud on AWS)等への影響
SaaS(Air-Watch、VMware Horizon Cloud、VMware Cloud on AWS)等への影響は、上述の対応状況のナレッジから、リンク先の各製品ごとの情報を参照。
参照
本脆弱性の内容。
- Reading privileged memory with a side-channel
- JVNVU#93823979: 投機的実行機能を持つ CPU に対するサイドチャネル攻撃
- CVE-2017-5753、CVE-2017-5715(通称Spectre)
- CVE-2017-5754(通称Meltdown)
VMware社からの発信情報。
- KB 52245: VMware Response to Speculative Execution security issues, CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 (aka Spectre and Meltdown(全体サマリ)
- VMSA-2018-0002.1 - VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution.(ハイパーバイザ製品)
- VMSA-2018-0004.1 - VMware vSphere, Workstation and Fusion updates add Hypervisor-Assisted Guest Remediation for speculative execution issue(仮想マシン)
- KB 52264 - VMware Virtual Appliances and CVE-2017-5753, CVE-2017-5715 (Spectre), CVE-2017-5754 (Meltdown)(仮想アプライアンス)
VMware社のナレッジやセキュリティアドバイスは、随時更新されるので、適宜、原文を確認されたい。
本ページ内容は筆者が参照の便のためにある時点でまとめた個人的なメモです。内容を保証するものではなく、また筆者の所属組織等とは一切かかわりがありません。