【活用ガイド】

JVNDB-2013-003802

マルチコア CPU の共有 L3 キャッシュに対するサイドチャネル攻撃

概要

マルチコア CPU の共有 L3 キャッシュに対するサイドチャネル攻撃手法が公開されています。
詳しくは、以下のページをご確認ください。

Flush+Reload: a High Resolution, Low Noise, L3 Cache Side-Channel Attack
http://eprint.iacr.org/2013/448.pdf


この問題は情報漏えい (CWE-200) の脆弱性の一種です。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 1.9 (注意) [NVD値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
影響を受けるシステム


Canonical
  • Ubuntu 13.04
  • Ubuntu 12.10
  • Ubuntu 12.04 LTS
  • Ubuntu 10.04 LTS
Debian
  • Debian GNU/Linux 6.0
  • Debian GNU/Linux 7.0
GNU Project
  • GnuPG 2.0.x
  • GnuPG 1.4.14 未満
  • Libgcrypt 1.5.3 未満
Novell
  • openSUSE 12.3
  • openSUSE 12.2
オラクル
  • Oracle Solaris 10
  • Oracle Solaris 11.1

影響を受ける製品は複数存在します。詳しくは、CERT/CC Vulnerability Note VU#976534 をご確認ください。
想定される影響

共有 L3 キャッシュを通じて、他のプロセスからメモリ内容を推測される可能性があります。結果として、機密情報などを取得される可能性があります。

Flush+Reload: a High Resolution, Low Noise, L3 Cache Side-Channel Attack では、Intel Ivy Bridge プラットフォーム上で本攻撃手法を適用することで、GnuPG の RSA 秘密鍵を 98% まで復元できることが示されています。
対策

[アップデートする]
各開発者が提供する情報や、VU#976534 の Vendor Information をもとに、該当する製品をアップデートしてください。

GnuPG は本脆弱性の対策版として GnuPG 1.4.14 と Libgcrypt 1.5.3 を公開しています。

[ワークアラウンドを実施する]
ハイパーバイザ型の仮想環境では、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

 * memory page de-duplication 機能を無効にする
ベンダ情報

Canonical Debian
  • Debian Bug report logs : 717880
  • Debian Security Advisory : DSA-2731
  • Debian Security Advisory : DSA-2730
GNU Project Novell オラクル レッドハット
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報漏えい(CWE-200) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2013-4242
参考情報

  1. JVN : JVNVU#94473961
  2. National Vulnerability Database (NVD) : CVE-2013-4242
  3. US-CERT Vulnerability Note : VU#976534 
  4. 関連文書 : Flush+Reload: a High Resolution, Low Noise, L3 Cache Side-Channel Attack
更新履歴

  • [2013年08月21日]
      掲載
    [2013年10月04日]
      タイトル:内容を更新
      概要:内容を更新
      影響を受けるシステム:内容を更新
      想定される影響:内容を更新
      対策:内容を更新
      参考情報:JVN (JVNVU#94473961) を追加
      参考情報:US-CERT Vulnerability Note (VU#976534) を追加
      参考情報:関連文書 (Flush+Reload: a High Resolution, Low Noise, L3 Cache Side-Channel Attack) を追加
    [2013年10月23日]
      CVSS による深刻度:内容を更新
    [2013年10月28日]
      影響を受けるシステム:内容を更新
    [2013年11月11日]
      ベンダ情報:レッドハット (RHSA-2013:1457) を追加
    [2014年05月14日]
      ベンダ情報:オラクル (CVE-2013-4242 Information Disclosure vulnerability in libgcrypt) を追加
    [2014年05月23日]
      影響を受けるシステム:内容を更新

公表日2013/07/29
登録日2013/08/21
最終更新日2014/05/23