IBM は、Meltdown 問題と Spectre SNAFU に対する独自のパッチのリリースを開始した。これらの問題は同社のハードウェアとオペレーティング システムに影響することが半ば確認されているが、完全な修正プログラムは 2 月中旬まで提供されない予定だ。
「半分確認済み」と言うのは、IBM はどちらのバグも具体的に名指しせずに、先週 Google が言及したプロセッサの問題についてのみ問題があると述べたためだ。
同社は1月4日(木)にPOWERシステムに問題が発生していることを強く示唆しました。9日(火)に同社は問題を確認し、同社のキットにより「システムにアクセスできる者が不正なデータにアクセスする可能性がある」と認めました。
IBM、プロセスとパッチの不具合でメルトダウンを修正中
続きを読む
この修正には2つのステップがあります。IBMは、「システムファームウェアとオペレーティングシステムの両方にパッチをインストールすることが含まれます。ファームウェアパッチはこれらの脆弱性を部分的に修正するもので、OSパッチが有効になるための前提条件となります」と述べています。
火曜日の時点で、POWER7+とPOWER8のパッチは準備完了です。IBMは1月15日にPOWER9のパッチをリリースすると約束しています。つまり、前提条件は整ったということです。しかし、AIXとiオペレーティングシステムのパッチは「2月12日にリリース予定」とのことです。これは、この記事の執筆時点ではまだ1ヶ月以上先のことです。
IBMはOSパッチの準備を進める中で、顧客に対し「この脆弱性がお客様の環境にリスクをもたらす場合、第一の防御線は、ほとんどの組織が既に導入しているファイアウォールとセキュリティツールです」とアドバイスしました。また、「お客様は、データセンター環境と標準的な評価手法に照らし合わせてこれらのパッチを確認し、適用の是非を判断する必要があります」とも述べています。
後者は母親としての発言ですが、おそらく AIX と i は、アプリケーションがダウンタイムに非常に敏感で、変更ウィンドウがほとんどない環境で実行されることが多いという暗黙の認識でもあるのでしょう。
つまり、CPU パッチと OS パッチの間の遅延は、一部の IBM ショップではまったく歓迎されないものではないかもしれません。テストおよび開発リグでのファームウェア アップグレードを計画するのに 1 か月の期間があり、2 月中旬に OS パッチがリリースされてから間もなく、大規模な変更の 1 つのウィンドウを計画できるからです。®
