原文はこちら。
https://blogs.oracle.com/oraclesecurity/updates-about-processor-vulnerabilities-cve-2018-3640-and-cve-2018-3639
プロセッサの2個の脆弱性が2018年5月21日に公開されました。
脆弱性CVE-2018-3639の悪用を成功させるには、ターゲット・システムへのローカルアクセスが必要です。影響を受けるシステムでこの脆弱性を緩和するには、ソフトウェアとマイクロコードの両方の更新が必要です。
脆弱性CVE-2018-3640の悪用を成功させるには、こちらもターゲット・システムへのローカルアクセスが必要です。影響を受けるインテルプロセッサーに対してこの脆弱性を緩和するには、更新されたプロセッサー固有のマイクロコードを適用する以外の方法はありません。
業界で協力して、Oracleは特定のx86プラットフォーム用にインテルが最近リリースしたマイクロコードと共に、Oracle LinuxおよびOracle VMで必要なソフトウェア・アップデートをリリースしました。
https://blogs.oracle.com/oraclesecurity/updates-about-processor-vulnerabilities-cve-2018-3640-and-cve-2018-3639
プロセッサの2個の脆弱性が2018年5月21日に公開されました。
Processor vulnerabilities CVE-2018-3640 (“Spectre v3a”) and CVE-2018-3639 (“Spectre v4”)これらの脆弱性は、CVE-2018-3640 ( “Spectre v3a” もしくは “Rogue System Register Read”) と CVE-2018-3639 (“Spectre v4” もしくは “Speculative Store Buffer Bypass”) と呼ばれるものです。両者とも4.3というCVSSのベーススコアが付けられています。
https://blogs.oracle.com/oraclesecurity/processor-vulnerabilities-cve-2018-3640-and-cve-2018-3639
脆弱性CVE-2018-3639の悪用を成功させるには、ターゲット・システムへのローカルアクセスが必要です。影響を受けるシステムでこの脆弱性を緩和するには、ソフトウェアとマイクロコードの両方の更新が必要です。
脆弱性CVE-2018-3640の悪用を成功させるには、こちらもターゲット・システムへのローカルアクセスが必要です。影響を受けるインテルプロセッサーに対してこの脆弱性を緩和するには、更新されたプロセッサー固有のマイクロコードを適用する以外の方法はありません。
業界で協力して、Oracleは特定のx86プラットフォーム用にインテルが最近リリースしたマイクロコードと共に、Oracle LinuxおよびOracle VMで必要なソフトウェア・アップデートをリリースしました。
CVE-2018-3639商用のマイクロコードがIntelからから入手できるようになれば、Oracleは、マイクロコードの新たなアップデートおよびファームウェア・パッチを引き続きリリースします。
https://linux.oracle.com/cve/CVE-2018-3639.html
CVE-2018-3640 (Spectre v3a), CVE-2018-3639 (Spectre v4) Vulnerabilities : Intel Processor Microcode Availability (ドキュメントID 2406316.1)Spectre と Meltdownの脆弱性の以前のバージョン(MOS Note ID 2347948.1を参照)に関しては、OracleはCVE-2018-3639およびCVE-2018-3640の影響を受ける製品のリストをその他の技術情報と共にMy Oracle Support(MOS Note ID 2399123.1)で公開します。
https://support.oracle.com/rs?type=doc&id=2406316.1
Addendum to the January 2018 CPU Advisory for Spectre (CVE-2017-5715, CVE-2017-5753) and Meltdown (CVE-2017-5754) vulnerabilities (ドキュメントID 2347948.1)さらに、Oracleおよびサードパーティのサプライヤからアップデートが利用可能になると、Oracle Cloudのチームは、そのアップデートが保証される場合には、適切な変更管理プロセスに従って、必要なアップデートを特定して適用します。
https://support.oracle.com/rs?type=doc&id=2347948.1
Information about processor vulnerabilities CVE-2018-3640 ("Spectre v3a") and CVE-2018-3639 ("Spectre v4") (ドキュメントID 2399123.1)
https://support.oracle.com/rs?type=doc&id=2399123.1