satoshi.sa.aoki
2024年3月22日 18時34分
お世話になっております。
最近以下の脆弱性について報告されていますが、Armadillo IoT G3は影響ありますか?
もし対策が必要だとするとどのような対応をしたらよいかご教授いただけますか?
* 情報源:https://kb.cert.org/vuls/id/488902
概要
* 投機的実行機能を持つCPUに影響を及ぼす投機的競合状態(Speculative Race Condition:SRC)の脆弱性、「GhostRace」が報告されています。幾つかの製品ベンダーは、この問題への対策に関する情報を提供しています。CERT/CCは、この問題に関して製品ベンダーの対応状況を横断的に示していますので、ご確認のうえ対処をご検討ください。
関連文書
* https://ibm.github.io/system-security-research-updates/2024/03/12/ghost…
* https://www.vusec.net/projects/ghostrace/
koga
2024年3月23日 6時30分
アットマークテクノの古賀(休日モード)です。
satoshi.sa.aokiさん:
>最近以下の脆弱性について報告されていますが、Armadillo IoT G3は影響ありますか?
>もし対策が必要だとするとどのような対応をしたらよいかご教授いただけますか?
>
>* 情報源:https://kb.cert.org/vuls/id/488902
このページで、ARM Limited について "We have not received a statement from the vendor." と記載されている通り、ARM のサイトにも、具体策や影響を受ける ARM コアのリストは未だ掲示されていませんね:
https://developer.arm.com/Arm%20Security%20Center/Speculative%20Race%20…
ですので、現時点で正確なことを言えません。
ただし、この脆弱性(GhostRace; CVE-2024-2193)はプロセッサの投機的実行に起因するものですから、Armadillo-IoT G3 に搭載している i.MX7 Dual の ARM コアである Cortex-A7 には影響しないのではないかと思います。
>概要
>* 投機的実行機能を持つCPUに影響を及ぼす投機的競合状態(Speculative Race Condition:SRC)の脆弱性、「GhostRace」が報告されています。幾つかの製品ベンダーは、この問題への対策に関する情報を提供しています。…
ARM のサイトには、プロセッサの投機的実行に起因する脆弱性の FAQ があります。その中にある、「どの ARM プロセッサが影響を受けるのか?」という問いへの回答からリンクが貼られているページの表に、Cortex-A7 は載っていません:
https://developer.arm.com/documentation/102587/0103/Affected-processors…
https://developer.arm.com/Arm%20Security%20Center/Speculative%20Process…
5年ほど前、Spectre と Meltdown が話題になった頃に書かれた、この Blog でも、Cortex-A7 は影響を受けないと説明しています:
https://www.meccanismocomplesso.org/en/why-raspberry-pi-is-invulnerable…
以上、もし参考になりましたら幸いです。