Ubuntu 16.04 LTS/18.04 LTS/18.10/19.04:Intelマイクロコードの更新プログラム(USN-3977-3)(MDSUM/RIDL)(MFBDS/RIDL/ZombieLoad)(MLPDS/RIDL)(MSBDS/Fallout)

medium Nessus プラグイン ID 126095
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのUbuntuホストにセキュリティ関連のパッチがありません。

説明

USN-3977-1およびUSN-3977-2は、多数のIntelプロセッサーファミリに対応するIntelマイクロコードでのマイクロアーキテクチャデータサンプリング(MDS)の脆弱性の緩和策を提供しました。この更新プログラムでは、Intel Sandy Bridgeプロセッサーファミリーに対応する更新されたマイクロコードの緩和策が提供されます

Ke Sun氏、Henrique Kawakami氏、Kekai Hu氏、Rodrigo Branco氏、Giorgi Maisuradze氏、Dan Horea Lutas氏、Andrei Lutas氏、Volodymyr Pikhur氏、Stephan van Schaik氏、Alyssa Milburn氏、Sebastian Osterlund氏、Pietro Frigo氏、Kaveh Razavi氏、Herbert Bos氏、Cristiano Giuffrida氏、Moritz Lipp氏、Michael Schwarz氏、Daniel Gruss氏は、以前にIntel CPUコアのマイクロアーキテクチャフィルバッファに格納されていたメモリが、同じCPUコア上で実行されている悪意のあるプロセスに漏えいされる可能性があることを発見しました。ローカルの攻撃者がこれを悪用して、秘密情報を漏えいさせる可能性があります。
(CVE-2018-12130)

Brandon Falk氏、Ke Sun氏、Henrique Kawakami氏、Kekai Hu氏、Rodrigo Branco氏、Stephan van Schaik氏、Alyssa Milburn氏、Sebastian Osterlund氏、Pietro Frigo氏、Kaveh Razavi氏、Herbert Bos氏、Cristiano Giuffrida氏は、以前にIntel CPUコアのマイクロアーキテクチャロードポートに格納されていたメモリが、同じCPUコア上で実行されている悪意のあるプロセスに漏えいされる可能性があることを発見しました。ローカルの攻撃者がこれを悪用して、秘密情報を漏えいさせる可能性があります。(CVE-2018-12127)

Ke Sun氏、Henrique Kawakami氏、Kekai Hu氏、Rodrigo Branco氏、Marina Minkin氏、Daniel Moghimi氏、Moritz Lipp氏、Michael Schwarz氏、Jo Van Bulck氏、Daniel Genkin氏、Daniel Gruss氏、Berk Sunar氏、Frank Piessens氏、Yuval Yarom氏は、以前にIntel CPUコアのマイクロアーキテクチャストアバッファに格納されていたメモリが、同じCPUコア上で実行されている悪意のあるプロセスに漏えいされる可能性があることを発見しました。ローカルの攻撃者がこれを悪用して、秘密情報を漏えいさせる可能性があります。(CVE-2018-12126)

Ke Sun氏、Henrique Kawakami氏、Kekai Hu氏、Rodrigo Branco氏、Volodrmyr Pikhur氏、Moritz Lipp氏、Michael Schwarz氏、Daniel Gruss氏、Stephan van Schaik氏、Alyssa Milburn氏、Sebastian Osterlund氏、Pietro Frigo氏、Kaveh Razavi氏、Herbert Bos氏、Cristiano Giuffrida氏は、以前にIntel CPUコアのマイクロアーキテクチャバッファに格納されていたキャッシュ不可能なメモリが、同じCPUコア上で実行されている悪意のあるプロセスに漏えいされる可能性があることを発見しました。ローカルの攻撃者がこれを悪用して、秘密情報を漏えいさせる可能性があります。(CVE-2019-11091)。

注意: Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリからすでに直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるintel-microcodeパッケージを更新してください。

関連情報

https://usn.ubuntu.com/3977-3/

プラグインの詳細

深刻度: Medium

ID: 126095

ファイル名: ubuntu_USN-3977-3.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2019/6/21

更新日: 2020/9/17

依存関係: ssh_get_info.nasl

リスク情報

CVSS スコアのソース: CVE-2019-11091

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: Medium

Base Score: 4.7

Temporal Score: 3.5

ベクトル: AV:L/AC:M/Au:N/C:C/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Medium

Base Score: 5.6

Temporal Score: 4.9

ベクトル: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:intel-microcode, cpe:/o:canonical:ubuntu_linux:14.04, cpe:/o:canonical:ubuntu_linux:16.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:18.10, cpe:/o:canonical:ubuntu_linux:19.04

必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/6/20

脆弱性公開日: 2019/5/30

参照情報

CVE: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091

USN: 3977-3