セキュリティ情報（2018年1月17日）

「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について

公開日: 2018年1月17日
（株）日立製作所 ITプロダクツ統括本部

セキュリティ情報ID
 hitachi-sec-2018-301

投機的実行機能を持つCPUに対してサイドチャネル攻撃を行う手法が複数の研究者によって報告されています。[JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)]

今回の脆弱性は悪意あるプログラムが攻撃対象の製品の上で実行された場合に、OSカーネル領域およびユーザ領域の各プロセスで使用するメモリに格納されているデータが参照可能となるものであり、ストレージ製品(SVP含)においては任意の外部プログラムを実行できないため影響はありません。

ただし、Hitachi Virtual Storage Platform G800/600/400/200/100,F800/600/400モデル（下記製品一覧の[*]）のSVP装置としてお客さまがご用意された機器（サーバ、PC）については、機器（サーバ、PC）、仮想化機能、OSの各製造元から提供されている情報を元に影響のご確認やご対応をお願いいたします。

なお、弊社が提供しているサーバ、仮想化機能、OSに関する本脆弱性の情報は、こちらをご覧ください。

ストレージ製品一覧

• Hitachi Universal Storage Platform
• Hitachi Universal Storage Platform V/VM
• Hitachi Universal Storage Platform H12000/H20000/H24000


• Hitachi Virtual Storage Platform
• Hitachi Virtual Storage Platform G800/600/400/200/100,F800/600/400^[*]
• Hitachi Virtual Storage Platform G1000,G1500,F1500
• Hitachi Virtual Storage Platform VP9500
• Hitachi Virtual Storage Platform VX7


• Hitachi Network storage Controller
• Hitachi Network storage Controller H10000


• Hitachi Unified Storage VM
• Hitachi Unified Storage 100シリーズ


• Adaptable Modular Storage 2000シリーズ


• BR1600/BR1650シリーズ


• Hitachi Virtual File Platform
• Hitachi Data Ingestor


• Hitachi NAS Platform


• Hitachi Content Platform
• Hitachi Content Platform Anywhere


• Hitachi Capacity Optimization


• ファイバチャネルスイッチ(HT-4990-SWxxxx)


• バックアップストレージ(TFxxxx)

関連情報

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754
• https://jvn.jp/vu/JVNVU93823979

本件に関する問い合せ窓口

• 問い合わせ先はこちら

更新履歴

• 2018年2月7日: セキュリティ情報IDおよびSVPに対する補足説明を追加しました。
• 2018年1月17日: このセキュリティ情報ページを新規作成および発信しました。

*1

弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

*2

当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴ない、当ホームページの記載内容に変更が生じることがあります。

*3

当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。

*4

記載の会社名、製品名などは、それぞれの会社の商標もしくは登録商標です。