CPU 칩셋 취약점 보안 업데이트 권고
최신 업데이트 내용 추가 : 2018-01-29
□ 개요o Google社 Project Zero는 Intel社, AMD社, ARM社 CPU 제품의 취약점을 발표 [1]
o 영향 받는 버전 사용자는 해결방안에 따라 최신버전으로 업데이트 권고
□ 내용
o CPU의 부채널 공격(side channel attack)으로 인해 캐시 메모리의 저장된 정보가 노출되는 취약점
- 스펙터(Spectre, CVE-2017-5753, CVE-2017-5715)
- 멜트다운(Meltdown, CVE-2017-5754)
□ 해결 방안
o 아래 칩셋 제조사 및 OS 개발사를 확인하여 최신 업데이트 적용
※ 최신 업데이트가 미 제공된 제품을 사용할 경우 패치 예정일을 확인하여 신속하게 패치 하는 것을 권고
| 제조사 | 패치 현황 | 배포 여부 |
| Amazone | 패치 버전 배포(‘18.1.14)[2] | 배포완료 |
| AMD | 장비 제조사 및 OS 개발사를 통해 패치 권고 [3] | 배포중 |
| Apple | iOS, macOS 등 멜트다운 취약점에 대한 패치버전 배포(’17.12.7) | 배포중 |
| iOS, macOS 등 스펙터 취약점에 대한 패치버전 배포 예정 [4] ※ Apple Safari, WebKit 는 패치 완료('18.1.9) |
배포예정 | |
| ARM | 패치 버전 배포(’18.1.4) [5] | 배포중 |
| CentOS | 패치 버전 배포(‘18.1.6) [6] | 배포중 |
| Chromium | 패치버전 배포 예정(‘18.1.24) [7] | 배포예정 |
| Cisco | 패치 버전 배포(‘18.1.4) [8] | 배포중 |
| Citrix | 패치 버전 배포(’18.1.6) [9] | 배포중 |
| Debian | 패치 버전 배포(’18.1.4) [10] | 배포중 |
| Dragonfly BSD |
패치 버전 배포(’18.1.6) [11] | 배포중 |
| F5 | 패치 버전 배포(’18.1.6) [12] | 배포중 |
| Fedora | 패치 버전 배포(’18.1.5) [13] | 배포중 |
| Fortinet | 패치 버전 배포(’18.1.5) [14] | 배포중 |
| Android, Chrome 등 패치버전 배포(’18.1.6) [15][16] ※ Android의 경우 스마트폰 제조사별로 배포일자가 다를 수 있음 |
배포중 | |
| Huawei | 패치 버전 배포(’18.1.5) [17] | 배포중 |
| IBM | 장비 제조사 및 OS 개발사를 통해 패치 권고(’18.1.4) [18][19] | 배포중 |
| Intel | 패치 버전 배포(‘18.1.4) [20][21] ※ Haswall, Broadwell 칩셋을 사용하는 시스템의 경우 Intel 펌웨어 패치 적용 후 재부팅 이슈가 있어 제품 제조사 및 관련 벤더사에 확인 후 업데이트를 적용[43] ※ Intel은 일부 제품에 문제가 있는 스펙터2 보안 패치를 관계 제조사를 통해 롤백하도록 권고 하였으며 이용자는 관계 제조사에 제품을 확인한 후 BIOS 업데이트를 적용[44] |
배포중 |
| Juniper | 패치 버전 배포(’18.1.9) [22] | 배포중 |
| Lenovo | 패치 버전 배포(’18.1.5) [23] | 배포중 |
| Linux | 패치 버전 배포(’18.1.4) [24] | 배포중 |
| Microsoft | (PC) Windows 7, 8.1, 10 (Server) 2008, 2008 R2, 2012, 2012 R2, 2016 Azure 대상 패치 배포(’18.1.4) [25][26] ※ AMD 제품 패치에 이슈가 있어 중단(1.10)했으나 다시 배포(1.11)[27] ※ 스펙터, Variant 2 보안 패치 해제에 대한 업데이트 발표(1.29)[45][46] |
배포중 |
| Mozilla | 패치 버전 배포(’18.1.4) [28] | 배포중 |
| NetApp | 패치 버전 배포(’18.1.6) [29] | 배포중 |
| Netgear | 패치 버전 배포 예정 [30] | 배포예정 |
| Nutanix | 패치 버전 배포(’18.1.11) [31] | 배포중 |
| NVIDIA | 패치 버전 배포(’18.1.4) [32] | 배포중 |
| OpenSuSE | 패치 버전 배포(‘18.1.5) [33] | 배포중 |
| Oracle | 패치 버전 배포(‘18.1.16) [34] | 배포중 |
| Qubes | 패치 버전 배포(‘18.1.5) [35] | 배포중 |
| Red Hat | 패치 버전 배포(‘18.1.4) [36] | 배포중 |
| SuSE | 패치 버전 배포(‘18.1.3) [37] | 배포중 |
| Synology | 패치 버전 배포(‘18.1.5) [38] | 배포중 |
| Trend Micro |
패치 버전 배포(‘18.1.4) [39] | 배포중 |
| Ubuntu | 패치 버전 배포(‘18.1.4) [40] | 배포중 |
| VMware | 패치버전 배포(’18.1.4) [41] | 배포중 |
| Xen | 패치버전 배포(’18.1.4) [42] | 배포중 |
※ 제품 버전별 상세 업데이트 관련 사항은 참고사이트 방문 혹은 제조사에게 문의 바람
□ 용어설명
o 부채널 공격(side channel attack) : 특수한 상황에서 처리 시간 차이의 특성을 이용한 공격 방식 중 하나
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://googleprojectzero.blogspot.kr/2018/01/reading-privileged-memory-with-side.html
[2] https://aws.amazon.com/ko/security/security-bulletins/AWS-2018-013/
[3] http://www.amd.com/en/corporate/speculative-execution
[4] https://support.apple.com/en-us/HT208394
[5] https://developer.arm.com/support/security-update
[6] https://lists.centos.org/pipermail/centos-announce/2018-January/date.html
[7] https://www.chromium.org/Home/chromium-security/ssca
[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel
[9] https://support.citrix.com/article/CTX231390
[10] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886367
[11] http://lists.dragonflybsd.org/pipermail/users/2018-January/313758.html
[12] https://support.f5.com/csp/article/K91229003
[13] https://fedoramagazine.org/protect-fedora-system-meltdown/
[14] https://fortiguard.com/psirt/FG-IR-18-002
[15] https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
[16] http://source.android.com/security/bulletin/2018-01-01
[17] http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en
[18] https://securityintelligence.com/cpu-vulnerability-can-allow-attackers-to-read-privileged-kernel-memory-and-leak-data/
[19] https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family/
[20] https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
[21] https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
[22] https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10842&cat=SIRT_1&actp=LIST
[23] https://support.lenovo.com/us/en/solutions/len-18282
[24] https://lkml.org/lkml/2017/12/4/709
[25] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
[26] https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
[27] https://support.microsoft.com/en-us/help/4073707/
[28] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[29] https://security.netapp.com/advisory/ntap-20180104-0001/
[30] http://info.nutanix.com/TA5G00u0C000PVD00O0A8Q0
[31] https://kb.netgear.com/000053240
[32] http://nvidia.custhelp.com/app/answers/detail/a_id/4609
[33] https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html
[34] http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
[35] https://www.qubes-os.org/news/2018/01/04/xsa-254-meltdown-spectre/
[36] https://access.redhat.com/security/vulnerabilities/speculativeexecution?sc_cid=701f2000000tsLNAAY&
[37] http://lists.suse.com/pipermail/sle-security-updates/2018-January/date.html
[38] https://www.synology.com/en-us/support/security/Synology_SA_18_01
[39] https://success.trendmicro.com/solution/1119183
[40] https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
[41] https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
[42] http://xenbits.xen.org/xsa/advisory-254.html
[43] https://newsroom.intel.com/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/
[44] https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf
[45] https://support.microsoft.com/en-us/help/4078130/update-to-disable-mitigation-against-spectre-variant-2
[46] http://www.catalog.update.microsoft.com/Search.aspx?q=KB4078130