Intel CPUに新たな脆弱性(PortSmash)が発見され、情報漏洩の危険があり(CVE-2018-5407)。
2018-11-02付記事によると、2018-10-01にIntelに通知されるも、未対策。AMDなどのCPUも同様の脆弱性あり。
本件、従来問題となっている"Spectre"や"Meltdown"とは別の脆弱性です。
Intel CPUs impacted by new PortSmash side-channel vulnerability
https://www.zdnet.com/article/intel-cpus-impacted-by-new-portsmash-side-channel-vulnerability/
Debian HPによると、これはCPUアーキテクチャ(H/W)上の問題だが、OpelSSLにより緩和できるとのこと。
https://security-tracker.debian.org/tracker/CVE-2018-5407
This is not an issue in software but in a hardware issue. Issue can be mitigated e.g. for OpenSSL.
こちらの記事によると、OpenSSL 1.1.1以上に更新すれば緩和できる由。
Yet Another Side-Channel Vulnerability Discovered – Verified on Skylake and Kaby Lake
https://wccftech.com/side-channel-portsmash-hits-intel-cpus/
The research team suggested to “disable SMT/Hyper-Threading in the bios” and “upgrade to OpenSSL 1.1.1 (or >= 1.1.0i” as potential fixes.
【追記】Debian StretchのOpenSSLバージョンを確認しました。1.1.0fです。
$ openssl version
OpenSSL 1.1.0f 25 May 2017
Buster(次期安定版)とsid(不安定版)は1.1.1-1になっています。
https://packages.debian.org/search?keywords=openssl
それにしても今年に入って次々とCPUの脆弱性=情報漏洩の問題が明らかになりますね。
暗号化した筈なのに穴があり