qemu-kvmの更新プログラムが、Red Hat Enterprise Linux 6.4 Advanced Update Supportで利用可能になりました。

Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCommon Vulnerability Scoring System (CVSS)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。

カーネルベースの仮想マシン（KVM）は、さまざまなアーキテクチャにおけるLinux向けの完全な仮想化ソリューションです。qemu-kvmパッケージは、KVMを使用する仮想マシンを実行するためのユーザー空間コンポーネントを提供します。

セキュリティ修正プログラム：

* 最新のマイクロプロセッサー設計の多くで、ロード/ストア命令（広く使用されているパフォーマンスの最適化）の投機的実行の実装方法に、業界レベルの問題が発見されました。これは、権限コードに存在する正確に定義された命令シーケンスに加えて、最近のメモリ書き込みが発生したアドレスからのメモリ読み取りが古い値を参照し、続いて実際にはコミットしない（破棄される）投機的実行の命令に対してもマイクロプロセッサーのデータキャッシュへの更新が行われる可能性があるという事実に基づきます。その結果、権限のない攻撃者がこの欠陥を悪用して、標的にキャッシュサイドチャネル攻撃を実行し権限メモリを読み取る可能性があります。（CVE-2018-3639 virt-ssbd AMD）

注：これはqemu-kvmに対応しているCVE-2018-3639緩和策の一部です。

Red Hatはこの問題を報告してくれたKen Johnson氏（Microsoft Security Response Center）とJann Horn氏（Google Project Zero）に感謝の意を表します。

検出

RHEL 6：qemu-kvm（RHSA-2018: 3401）（Spectre）

medium Nessus プラグイン ID 118550

バージョン 1.10

バージョン 1.9

バージョン 1.8

バージョン 1.10 Jan 9, 2026, 4:08 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit framework core" set to "True") Plugin Feed: 202601091608
バージョン 1.9 Nov 5, 2024, 12:50 PM CVSS metrics ("Cvssv4 score" set to 0.0) CVSSv2 severity (based on None, severity decreased from "High" to "Low") Plugin metadata Plugin Feed: 202411051250
バージョン 1.8 Apr 28, 2024, 3:17 AM Reference CVSSv2 score source (set to "CVE-2018-3639") Detection (updated detection logic) Plugin metadata Plugin Feed: 202404280317