NVIDIA社のGPUに対するサイドチャネル攻撃の脆弱性(Rendered Insecure: GPU Side Channel Attacks are Practical: CVE-2018-6260)


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

こちらでは主にOSSの脆弱性を取り上げていきます。

11/05/2018にRendered Insecure: GPU Side Channel Attacks are PracticalというNVIDIA社のGPUに対するサイドチャネル攻撃の脆弱性が公開されました。CVE情報がアサインされたこと、またおこの脆弱性へのNVIDIAの声明とデバイスドライバで対応していくことなどからOSSのディストリビューションからも更新があることが予想されますので、こちらでも取り上げてまとめます。

逐次情報は更新していく予定です。




Priority/CVSS

  • CVE-2018-6260

    • NVIDIA
      • CVSS v3 Base Score: 2.2
      • Vector: AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
    • SuSE
    • Red Hat Customer Potal
    • NVD

SW提供情報


修正方法

各ディストリビューションの情報を確認してください。

脆弱性概要(詳細は一次情報源のサイトをご確認ください)

  • Security Notice: NVIDIA Response to “Rendered Insecure: GPU Side Channel Attacks are Practical” - November 2018 (NVIDIAの回答)
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6260
    • NVIDIA製GPUへのサイドチャネル攻撃の脆弱性
    • NVIDIA製GPUへのサイドチャネル攻撃の脆弱性が発見されました。GPUパフォーマンスカウンタに対してのサイドチャネル攻撃により、アプリケーションデータ処理の状況が漏れる可能性が有ります。この攻撃はローカルユーザのアクセスが必要であり、リモートやネットワークからの攻撃では起こらないとの事です。
    • GPUを介した攻撃により、次の3つのシナリオが考えられると論文では指摘されています。
      • Graphics のスパイ: OpenGLなどを通してWebブラウザ等のアプリケーションで見たようなグラフィックデータが盗まれる
      • CUDAスパイ:CUDAを用いたクラウド上のデータを盗まれる
      • CUDAスパイ:CUDAを用いたユーザPC上の演算処理のデータを盗まれる
    • 詳細はPDFを御確認ください。

主なディストリビューションの対応状況

詳細は、各ディストリビューションの提供元にご確認ください


  • Debian
  • Red Hat Enterprise Linux/CentOS
  • Ubuntu
  • SUSE/openSUSE

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

セキュリティ系連載案内


セミナー情報

2018/11/14 17:00に、「NGINX MeetUp Tokyo #1」を行います。

今回はNGINX .conf 2018 現地参加者より最新情報を共有させて頂きます。

https://nginx-mj.connpass.com/event/103617/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。

OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

PostgreSQLの脆弱性情報(Important: CVE-2018-16850)

次へ

Keycloakの複数の脆弱性情報(Moderate: CVE-2018-14655, CVE-2018-14658, Low: CVE-2018-14657)