Supermicro システムに影響を与える可能性のあるマイクロプロセッサの脆弱性に関する詳細が発表され、オペレーティングシステムのアップデートとともに、システムBIOSのマイクロコードのアップデートが必要です。一般的に Meltdown および Spectre と呼ばれるこの脆弱性には、サイドチャネル解析の新しい手法を利用した悪意のあるコードが関与しており、通常のオペレーティング・プラットフォーム上でローカルに実行されると、メモリからデータ値を推測される可能性があります。
この問題を解決するには、OSのアップデートとBIOSのアップデートの両方が必要な場合があります。関連情報については、オペレーティング・システムまたはVMのベンダーにお問い合わせください。
UPDATE(2018年8月14日):
8月14日、インテルはサイドチャネル・セキュリティの新たな問題点に関する情報を発表しました。
- L1端子故障 (L1TF)
- L1 端子障害 -SGX (CVE-2018-3615)
- L1 端子障害 -OS、SMM (CVE-2018-3620)
- L1 端子障害 -VMM (CVE-2018-3646)
Intelから提供された情報によると、現時点ではSupermicro BIOSまたはファームウェアの新たなアップデートは必要ありません。SpectreおよびMeltdownの問題に対する最新の修正が施されたBIOSバージョンを以下の表でご確認ください。今年初めにリリースされたこれらのアップデートには、インテルが特定したこれらの新しい問題に対する必要な修正が含まれています。
UPDATE(2018年6月8日):
弊社システムのBIOS/ファームウェアのセキュリティをテストしているサードパーティのセキュリティ会社です。彼らは最近その結果を発表し、私たちはブログで提起された問題に対する修正を導入しました。
ブログでは、3つの異なるセキュリティー・エリアが確認されています。
読み取り/書き込みと読み取り専用ファームウェア/フラッシュ記述子テーブル
この問題は、最新世代のX11やそれ以前の世代のX9製品には影響しませんが、X10製品には影響があります。この問題がお客様のデータに影響を与えることはないと思われますが、システムが動作しなくなる可能性があります。
影響を受けるプラットフォームについては、最新のスペクター/メルトダウン(Intel-SA-00115)ファームウェア・アップデートとともに修正プログラムを配布する予定です。これらのアップデートは、今後数週間にわたって展開される予定です。個々のアップデートの状況については、以下をご確認ください。このアップデートは、再起動とBIOSアップデートの回数を最小限に抑えるため、Spectre/Meltdown BIOSの最新の修正と組み合わせています。
記事で提起された他の2つの問題は、新しいセキュリティ機能(BIOSへの暗号署名と、重要なセキュリティパッチが適用された場合のBIOSダウングレードの制限)です。一部のお客様にはすでにこれらの機能を出荷しており、今後すべての新しいプラットフォームでこれらの機能が有効になります。
後方互換性の問題があるため、既存のシステムについては、これらの新機能へのアップグレードをオプションとしています。既存のプラットフォームをお持ちのお客様は、営業担当者または関連するプロダクト・マネージャーにお問い合わせの上、既存のシステムでソフトウェア署名と制限付きロールバックの機能をアップグレードすることが適切かどうかをご確認ください。これらの機能を有効にした新しいBIOSが必要になります。BIOSの提供は、需要に応じて行われます。
BIOSとファームウェアのセキュリティは、業界にとってますます大きな課題となっています。これらの新しい脆弱性に対処するため、BIOSとファームウェアを定期的にアップデートすることを強くお勧めします。
UPDATE(2018年5月21日):
2018年5月21日、インテルは追加のマイクロコードアップデートをリリースすると発表しました(Intel-SA-00115)。これらの新しいアップデートには、これらの潜在的なセキュリティ脆弱性に対処するための機能強化が含まれます。
- CVE-2018-3639 7.1 高 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
- CVE-2018-3640 4.3 中 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
Intelがマイクロコードをリリースしたら、新しいBIOSを製品化し、テストし、リリースします。追加BIOSのバージョンとステータスについては、以下の表のコメント欄をご参照ください。
AMD システムについては、以下のH11およびH8タブを参照してください。
BIOSのアップデートが入手可能になり次第、このウェブページを更新します。