この記事では、モダン プロセッサにおける投機的な実行に関連する問題が実際に VMware 製品にどのように影響するのか、およびそれらの問題に対して VMware がどのように対応しているかを詳しく説明します。
VMware での問題の軽減策は 3 つのカテゴリに分類されます。
さらに、VMware はこれらの問題をそのサービスにおいて軽減します。
このナレッジベースの記事は、新しい情報が提供された時点で更新されます。
概要
CPU データ キャッシュのタイミングがソフトウェアによって悪用され、誤った予測での CPU の投機的実行により情報が効率的に漏洩されて、(最悪の場合)さまざまな状況でローカル セキュリティの境界を越えて、任意の仮想メモリ読み取りに関する脆弱性が発生する可能性があります。この情報は、2018 年 1 月 3 日 に公開されました。Google の Project Zero およびその他のセキュリティ研究者によってこれまで 3 つのバリアントが発見されており、Intel、AMD、ARM の特定のプロセッサを含む多数のモダン プロセッサに影響を与える危険があります。
これらの既知のバリアントを効果的に軽減するため、オペレーティング システム (OS)、仮想マシン、仮想アプライアンス、ハイパーバイザー、サーバ ファームウェア、および CPU マイクロコードのすべてに、パッチを適用するか、あるいはアップグレードする必要があります。汎用オペレーティング システムは、これらのバリアントに対していくつかの軽減策を追加しています。ほとんどのオペレーティング システムの軽減策によって、パッチの適用されていない CPU(およびハイパーバイザー)に適用することができ、攻撃を受ける領域が大幅に削減されます。しかし、一部のオペレーティング システムの軽減策は、更新された CPU マイクロコードによって新しい投機的実行の制御メカニズムが提供される(さらにハイパーバイザーによって仮想マシンに仮想化される)ときに、より効果的です。上記の軽減策をオペレーティング システムに適用する場合、パフォーマンスへの影響が生じる可能性があります。詳細については、それぞれの OS ベンダーにお問い合わせください。
ハイパーバイザー向けの軽減策
ハイパーバイザーまたはゲスト仮想マシンから悪意のあるゲスト仮想マシンへのリークを軽減します。VMware のハイパーバイザー製品には、バリアント 1 およびバリアント 2 の脆弱性の既知の例の影響を受け、関連する軽減策が必要です。バリアント 3 の既知の例は、VMware のハイパーバイザー製品には影響しません。
VMware ハイパーバイザーでは、このクラスの軽減策を実現するのに新しい投機的実行の制御メカニズムを必要としません。したがって、これらのタイプの更新は現在サポートされているどのプロセッサにもインストールできます。VMware 製品のパフォーマンスに及ぼす影響についての最新情報は、「KB 52337」を参照してください。
ハイパーバイザーが支援するゲスト向けの軽減策
ゲスト仮想マシンに対して新しい投機的実行の制御メカニズムを仮想化して、ゲスト OS が仮想マシン内のプロセス間のリークを軽減できるようにします。この軽減策では、メカニズムを提供する特定のマイクロコード パッチが、ESXi によって、またはシステム ベンダーからのファームウェア/BIOS アップデートによってシステムのプロセッサに適用済みである必要があります。この軽減策のための ESXi パッチには、リリースの時点で使用可能なすべてのマイクロコード パッチが含まれており、システム ファームウェアによってまだ適用されていない場合に適切なパッチが自動的に適用されます。
ハイパーバイザーで投機的実行の制御メカニズムを仮想化する場合に著しい追加のオーバーヘッドが発生することはありません。この軽減策をオペレーティング システムに適用する場合、パフォーマンスへの影響が生じる可能性があります。詳細については、それぞれの OS ベンダーにお問い合わせください。
オペレーティング システム向けの軽減策
オペレーティング システム (OS) に対する軽減策は、OS ベンダーによって提供されます。仮想アプライアンスの場合、仮想アプライアンスのベンダーがこれらの軽減策をアプライアンスに統合し、更新されたアプライアンスを提供する必要があります。
VMware のサービスとしてのソフトウェア (SaaS) のステータス更新
VMware では現在自社のサービスを調査し、パッチを適用している段階です。現在のステータスは「対策」セクションにあります。
ドキュメントのタイムライン
ハイパーバイザー向けの軽減策
VMware vSphere ESXi(5.5、6.0、6.5、VMC)、VMware Workstation(12.x、14.x)、および VMware Fusion(8.x、10.x)などの特定のバージョンは、VMSA-2018-0002 で詳しく説明するようにハイパーバイザー向けの軽減策ですでに更新されています。
このナレッジベースの記事に記載されたすべての提供される VMware ハイパーバイザー向けの軽減策は、バリアント 1 およびバリアント 2 の脆弱性の既知の例にのみ対処することができます。バリアント 3 の既知の例は VMware ハイパーバイザーに影響しません。 VMware は、新しい投機的実行の脆弱性が明らかになり、新しい CPU ベンダーのマイクロコードが利用可能になることを想定し、軽減策の更新を怠ることなく継続していきます。
ハイパーバイザーが支援するゲスト向けの軽減策
重要:ESXi パッチに同梱された Intel のマイクロコードの問題に関する重要な情報については、「KB52345」を参照してください。
ハイパーバイザーが支援するゲスト向けの軽減策のパッチが利用可能です。パッチを含む軽減策の要件は、VMSA-2018-0004 で公開されています。ハイパーバイザーが支援するゲスト向けの軽減策を有効にするための詳細な手順は、「Hypervisor-Assisted Guest Mitigation for branch target injection (52085)」に記載されています。
オペレーティング システム向けの軽減策
VMware 仮想アプライアンス
影響を受けるアプライアンスや影響を受けないアプライアンスを含む、VMware 仮想アプライアンスについての全般的な情報については、https://kb.vmware.com/s/article/52264 を参照してください。
影響を受ける仮想アプライアンスに対する軽減策および回避策は、現在 VMSA-2018-0007 に記載されています。
Photon OS
Photon OS は、Photon OS Security Advisories に記載されている修正プログラムのリリースをすでに開始しました。
Windows にインストールされ実行している VMware 製品
Windows に適切な更新パッチが適用されていない場合、Windows 上で実行する VMware 製品が影響を受ける可能性があります。解決方法については、VMware は Microsoft に問い合わせることをお勧めします。
Linux(仮想アプライアンスを除く)、Mac OS、iOS、または Android にインストールされ実行している VMware 製品
オペレーティング システムに適切な更新パッチが適用されていない場合、Linux(仮想アプライアンスを除く)、Mac OS、iOS、または Android 上で実行する VMware 製品が影響を受ける可能性があります。VMware では、使用しているオペレーティング システムのベンダーに問い合わせ、解決方法について確認することをお勧めしています。
VMware のサービスとしてのソフトウェア (SaaS) のステータス更新
Air-Watch
https://support.air-watch.com/articles/115015960907
https://support.air-watch.com/articles/115015960887
VMware Horizon Cloud
http://status.horizon.vmware.com/incidents/nd1ry9frbkvq
VMware Cloud on AWS
https://status.vmware-services.io
VMware Identity Manager SaaS
http://status.vmwareidentity.com