掲載日:2018.01.12最終更新日:2019.04.24
日頃は、Express5800シリーズ/iStorage NSシリーズ製品をご愛用いただき、誠にありがとうございます。
このたび、投機的実行機能やアウトオブオーダー実行機能を持つプロセッサーにおいて、新たな脆弱性(CVE-2018-3615、CVE-2018-3620、CVE-2018-3646)が発覚いたしました。
本脆弱性の対象装置に対して、悪意のあるプログラムにより攻撃を受けると、メモリ内のデータが不正に取得されてしまう可能性があります。
この新たな脆弱性は、本ページにてご案内させていただいている投機的実行機能やアウトオブオーダー実行機能を持つプロセッサーに対する以下の脆弱性に類似するもので、システムBIOSとオペレーティングシステムの両観点から対策が必要になります。
- 2018年1月ご案内(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)
- 2018年5月ご案内(CVE-2018-3639、CVE-2018-3640)
上記新たな脆弱性(2018年8月)につきまして、本ページにて対応方法・対応状況を順次ご案内して参りますので、ご対応いただきますようお願いいたします。
脆弱性に関する情報
- 以下の何れの脆弱性とも、脆弱性を突いた攻撃を受けた場合に、対象装置内のメモリのデータを不正に取得されてしまう可能性があります。
- 悪意のあるプログラムがシステム上で実行されない場合は、本脆弱性による被害に遭うことはありません。
- 本脆弱性によるデータの改ざんの可能性はありません。
2018年8月に公表された脆弱性(CVE-2018-3615、CVE-2018-3620、CVE-2018-3646)
2018年5月に公表された脆弱性(CVE-2018-3639、CVE-2018-3640)
2018年1月に公表された脆弱性(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)
対処方法
上述した何れの脆弱性とも、対象装置のシステムBIOSアップデートと、使用されているオペレーティングシステムの修正適用が必要です。
システムBIOSのアップデート
以下の対象機種一覧に修正物件の公開時期および公開先を記載しています。
該当する修正物件をダウンロードして適用ください。
対象機種一覧、修正物件公開時期
- 2018年8月に公表された新たな脆弱性(CVE-2018-3615、CVE-2018-3620、CVE-2018-3646)への対策BIOSは、2018年5月に公表された脆弱性(CVE-2018-3639、CVE-2018-3640)の対策BIOSと同じものとなります。
- 対象機種一覧情報、および公開時期の情報は随時更新いたします。
- 掲載の対象は、補修用部品保有期限内の製品となります。
- 対象装置リスト
各シリーズは以下のページをご参照ください。
- p1-3 Express5800/100シリーズ
- p4 Express5800/SIGMABLADE
- p5 Express5800/ftサーバー
- p6 DX2000シリーズ
- p7 Express5800/スケーラブルHAサーバ
- p8 Express5800/InterSecシリーズ
- p9 iStorage NSシリーズ
- システムBIOS適用のご注意
BIOSの取得およびご適用の前に、ご使用いただいております製品のBIOSバージョンを必ずご確認いただき、対策適用以降の最新バージョンをご適用ください。
オペレーティングシステムの修正適用
各OSベンダから公開されております対策情報をご参照ください。
なお、本対処により、お客様がお使いの装置の用途、負荷によっては処理性能が低下する場合があります。
2018年8月に公表された脆弱性(CVE-2018-3615、CVE-2018-3620、CVE-2018-3646)への対応
2018年5月に公表された脆弱性(CVE-2018-3639、CVE-2018-3640)への対応
2018年1月に公表された脆弱性(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)への対応方法