【2019/12/18更新】SuitePRO V4 CPUの脆弱性に関するお知らせ

株式会社NTTPCコミュニケーションズ
2019年12月18日

平素はWebARENA SuitePRO V4をご利用くださり誠にありがとうございます。
CPU起因の脆弱性が報告されており、悪意あるプログラムが配置された場合、サーバー内のメモリ上にある情報を不正に読み取られる可能性があります。弊社対応およびお客さまへお願いする事項をお知らせいたします。
本件に関する対応は完了しました。

• CVE-2017-5754(Meltdown)
• CVE-2017-5753(Spectre)
• CVE-2017-5715(Spectre)

＜参考：Japan Vulnerability Notes＞

• https://jvn.jp/vu/JVNVU93823979/index.html

（2019年12月18日追記）
上記の脆弱性について、ホストサーバーでの対応を完了いたしました。
なお、お客さまにおいては仮想サーバーのOSアップデート実行をお願いします。

■お客さまへお願いする事項 はこちら

（2018年5月15日追記）
各OSベンダーやハードウェアベンダーから提供されたパッチを使った脆弱性対策の確認を行った結果、CPUの処理性能が著しく低下する事が判明したため、ホストサーバーでの対応は行わず、脆弱性対策済みゲストOS提供の準備を行っております。

対策済みゲストOSは、「Retpoline」という手法を用いたkernelを搭載しているため、これまで問題となっていたパフォーマンスの低下が緩和された脆弱性対策が可能です。
対象はCentOS7.5です。準備が整い次第、提供します。

またCentOS7 を既にご利用のお客さまは、以下の手順でkernelパッケージのアップデートを実行することで、対策を実施することができます。

＜ kernelパッケージのアップデート実行手順（CentOS7のみ）＞
1．「/etc/yum.conf」ファイルを編集
2．「exclude ...」行の先頭に「#」を追加することでコメントアウト
　　「/etc/yum.conf」ファイルを保存
3．「yum update」コマンドを実行
4．「reboot」コマンド等で仮想サーバーを再起動
5．「uname -r」コマンドでKernelパッケージアップデートの確認

　# uname –r
　kernel-3.10.0-862.el7

※「3.10.0-862.el7」以降のバージョンが表示されている事を確認
6．「/etc/yum.conf」ファイルを編集
7．「exclude ...」行の先頭の「#」を削除。「/etc/yum.conf」ファイルを保存

CentOS6以前のOSをご利用のお客さまは、対策済みCentOS7.5で環境を 再構築する必要があります。

（2018年2月6日追記）
弊社エンジニアにより、各OSベンダーやハードウェアベンダーから提供されたパッチを使った脆弱性対策の確認を実施しております。
しかし、提供されたパッチに問題があり、対策が不十分な状況となっています。
継続して対処策の検討を行っておりますので、対応まで今しばらくお待ちください。

■弊社対応状況

(1) IPSによる対応 インターネット側上位NW機器において、IPS対策シグネチャーの適用を開始しました。
　IPSは、この対策シグネチャーでCVE-2017-5754(Meltdown)/CVE-2017-5753(Spectre)/CVE-2017-5715(Spectre)脆弱性を悪用した攻撃プログラムの転送を検知すると、ブロックします。

(2) ホストサーバーの対応 【2019/12/18完了】
お客さま仮想サーバーを収容するホストサーバーOSへ対策パッチ適用の準備を進めております。具体的なスケジュール等については別途お知らせいたします。

■お客さまへお願いする事項

(1) 仮想サーバーのOSアップデート
SuitePRO V4で提供する初期OSをご利用の場合、下記の手順で対策パッチ適用の確認又はkernelパッケージのアップデート実行をお願いします。
※お客さま持ち込みOSをご利用の場合、ご自身で対策パッチ適用方法をご確認の上、対策実施をお願いします。

・仮想サーバーで「Windows(R)」をご利用の場合
初期設定でWindows(R) Updateが「自動実行」に設定されています。ただし、一部のアンチウィルスソフト製品に互換性問題が報告されているため、Windows(R) Updateが実行されていない場合があります。お客さまが導入しているアンチウィルスソフトのメーカーに互換性をご確認ください。

お客さま自身で「自動実行」を停止されている場合は、Windows® Updateの手動実施をお願いします。

• https://web.arena.ne.jp/support/suiteprov4/manual/windows_update.html

・仮想サーバーで「CentOS」をご利用の場合
初期設定では、ソフトウェアの自動アップデートからkernelパッケージを除外しています。お客さまは以下の手順でkernelパッケージのアップデートを実行する必要があります。kernelパッケージのアップデートが完了すると、仮想サーバーの再起動が必要となります。

＜ kernelパッケージのアップデート実行手順＞
1．「/etc/yum.conf」ファイルを編集
2．「exclude ...」行の先頭に「#」を追加することでコメントアウト。 「/etc/yum.conf」ファイルを保存
3．「yum update」コマンドを実行
4．「reboot」コマンド等で仮想サーバーを再起動
5．「uname -r」コマンドでKernelパッケージアップデートの確認

　　Cent6の場合
　　　　# uname -r
　　　2.6.32-696.18.7.el6.x86_64　　　※「2.6.32-696.18.7」以降のバージョンが表示されている事を確認

　　Cent7の場合
　　　　# uname -r
　　　3.10.0-693.11.6.el7.x86_64　　　※「3.10.0-693.11.6」以降のバージョンが表示されている事を確認

６．「/etc/yum.conf」ファイルを編集
７．「exclude ...」行の先頭の「#」を削除。 「/etc/yum.conf」ファイルを保存。

※2018年1月11日時点で提供されている初期OSのバージョン、「CentOS6.6」、「CentOS7.1」で手順を検証済みです。

＜関連オンラインマニュアル＞

• https://web.arena.ne.jp/support/suiteprov4/manual/centos_update.html

・本内容は、2018年1月12日時点の情報に基づきご案内しております。今後、情報および対応状況等に変更が発生した場合には、本お知らせページの更新にてご案内します。

今後とも、WebARENA SuitePRO V4をよろしくお願い申し上げます。