メルトダウンスペクターの脆弱性

IDENTIKEYアプライアンスおよびIDENTIKEY仮想アプライアンスのメルトダウンおよびスペクターの脆弱性

アドバイザリーID vasco-sa-20180118-meltdown-spectre-ia-iva

改訂番号 0.4

リリース日 2018年1月18日午後5時UTC + 1

最後の更新 2018年1月19日午後12:00 UTC + 1

概要

Intel、AMD、およびARMプロセッサに影響を与えるMeltdownおよびSpectreの脆弱性により、権限のない不正なプロセスがカーネルおよびユーザープログラムメモリを読み取ることが可能になり、マルウェアがパスワード、暗号化キー、またはその他の機密情報を盗む可能性があります。

脆弱なプロセッサを使用しているか、依存する可能性が高いため、IDENTIKEYアプライアンス製品とIDENTIKEY仮想アプライアンス製品の両方がこれらの脆弱性にさらされています。ただし、悪用のリスクは低いです。

影響を受ける製品

以下のOneSpan製品は、メルトダウンおよびスペクターの脆弱性の影響を受けます。

  • IDENTIKEY Appliance 3000シリーズ、5000シリーズ、7000シリーズ
  • IDENTIKEY Virtual Appliance 1000シリーズ、2000シリーズ、4000シリーズ、8000シリーズ

影響を受ける製品

  • IDENTIKEYアプライアンス
  • IDENTIKEY仮想アプライアンス

説明文

メルトダウンおよびスペクターの脆弱性の悪用は、アプライアンス上または仮想アプライアンスをホストしているコンピューター上で実行されている専用マルウェアによってのみ行うことができます。このようなマルウェアがインストールされ、他のセキュリティ上の欠陥を悪用して実行されている必要があります。典型的な攻撃シナリオでは、攻撃者が認証され、コードを実行する権限を持っています。

IDENTIKEYアプライアンスは、管理者であっても、シェルアクセスを許可しません。したがって、マルウェアがインストールされて実行される可能性は低く、悪用される可能性は低いです。IDENTIKEY Virtual Applianceに関しては、悪用される確率は、ホストコンピューターとハイパーバイザーのセキュリティにさらに依存します。ただし、アプライアンスは通常、ファイアウォールの背後にあるローカルネットワーク上にあり、認証やアクセス制御など、ローカルに配置されたセキュリティ制御の恩恵を受けます。

重大度スコア

以下の表は、IDENTIKEYアプライアンスおよびIDENTIKEY仮想アプライアンスのコンテキストにおけるメルトダウンおよびスペクターの脆弱性のCVSS 2.0脆弱性スコアを示しています。

CVSS基本スコア:1.0

アクセスベクター

アクセスの複雑さ

認証

機密性への影響

完全性への影響

可用性への影響

地元 高い シングル 部分的 無し 無し

 

CVSS時間スコア:8.0
悪用可能性 修復レベル 信頼を報告する
機能的 公式修正 確認済み

 

製品の修正

IDENTIKEYアプライアンスを使用しているお客様は、アプライアンスのオペレーティングシステムにパッチを適用するIA更新パッケージバージョン3.14.15を適用する必要があります。

IDENTIKEY Virtual Applianceを使用しているお客様は、アップデートパッケージバージョン3.14.15を適用し、ホストのオペレーティングシステムにパッチを適用し、ハイパーバイザー(VMWare、CitrixまたはMicrosoft仮想環境)にもパッチを適用する必要があります。

ロケーション

保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。

参照

MeltdownおよびSpectreの脆弱性に関する公式Webサイト:https://meltdownattack.com/

法的放棄声明

本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。

 

Copyright©2018 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

IDENTIKEYアプライアンスおよびIDENTIKEY仮想アプライアンスのメルトダウンおよびスペクターの脆弱性 e