Intel CPUに新たな脆弱性(PortSmash)が発見され、情報漏洩の危険があり(CVE-2018-5407)。

2018-11-02付記事によると、2018-10-01にIntelに通知されるも、未対策。AMDなどのCPUも同様の脆弱性あり。

本件、従来問題となっている"Spectre"や"Meltdown"とは別の脆弱性です。 

Intel CPUs impacted by new PortSmash side-channel vulnerability

https://www.zdnet.com/article/intel-cpus-impacted-by-new-portsmash-side-channel-vulnerability/

 

Debian HPによると、これはCPUアーキテクチャ(H/W)上の問題だが、OpelSSLにより緩和できるとのこと。

https://security-tracker.debian.org/tracker/CVE-2018-5407

This is not an issue in software but in a hardware issue. Issue can be mitigated e.g. for OpenSSL.

 

こちらの記事によると、OpenSSL 1.1.1以上に更新すれば緩和できる由。

Yet Another Side-Channel Vulnerability Discovered – Verified on Skylake and Kaby Lake

https://wccftech.com/side-channel-portsmash-hits-intel-cpus/

The research team suggested to “disable SMT/Hyper-Threading in the bios” and “upgrade to OpenSSL 1.1.1 (or >= 1.1.0i” as potential fixes.

 

【追記】Debian　StretchのOpenSSLバージョンを確認しました。1.1.0fです。

$ openssl version
OpenSSL 1.1.0f  25 May 2017
 

Buster(次期安定版)とsid(不安定版)は1.1.1-1になっています。

https://packages.debian.org/search?keywords=openssl

 

それにしても今年に入って次々とCPUの脆弱性＝情報漏洩の問題が明らかになりますね。

 

暗号化した筈なのに穴があり