アカウント名:
パスワード:
手元のマシン調べたら該当世代全て対象でした。この世代のCPUはアップデートしてなければ全て対象なのかもしれません。
Linux版は、Intel(R) MEI/TXEI driverいれないと、実行できません。それと、マニュアルがPDFなので、コンソールだけのサーバーだと読めません。$ ./intel_sa00086.pyだけなので、テキストファイルのドキュメント位、入れておいて欲しい所です。python3だと動かないので、python3がデフォルトのシステムの場合、$ python2 ./intel_sa00086.pyとかしないと動かないです。
マザーやCPUの詳細はdmidecodeコマンドで調べられます。FreeBSDもPortsで入ります。(出力が長いのでless推奨)
対象が5年以上前のマザーとかあるんですけど、メーカーが対策してくれる気がしません。最後のBIOSアップデートが2012年だったり。確か、MEを自分でアップデートする方法があった気がしますが、これもそれで対応できるんでしょうか?
この脆弱性が実質的に攻撃可能になってるマシンは、それ程、多くない気がします。まず、BIOSでセキュリティーパスワードを設定して、ME機能を有効化した上でIPを振らないといけないので。普通に店で買ったPCをそのまま使っている分には影響ありませんし。企業とかで有効にしていても、攻撃する為にはLAN内に入らないといけないので。ME常時ONにして使ってる企業ってどれ位あるんでしょうか?デフォルトでONになってるPCやマザーがあったりするんですかね?
世代には拠るみたいですがlenovoとか富士通のノートPCとか初期状態でAMT有効(=ME設定ON)になってる端末もあるみたいですよ例http://itwork100.com/intelamt-10-pc-set/ [itwork100.com]
攻撃可能になる条件が実際には狭いのかもという主張に反対するわけではありませんが下記のMEの記事によるとMEの完全無効化はできないとあります。https://gigazine.net/news/20170829-disable-intel-me-11/ [gigazine.net]
貴殿の記載の「ME機能を有効化した上で」というあたりがどこから得られた知見なのか教えていただけると幸いです。
それは、有効化と言う言葉の使い方が違うだけです。その記事で無効化出来ないと言うのは、完全に停止してPC上で一切MEが起動していない状態に出来ないと言う意味で使っています。対して#3317957での有効化はMEを使用して外部から操作できる状態にする(≒攻撃可能にする)と言う意味で有効化と言っています。
Linux上からMEの有効化設定の変更とか出来ないかと。出来たとしても、ドライバとか入れないといけないし、最低でも再起動は必須だし。そもそも、その時点でOSのrootやadmin取られてるのでMEとか言ってる場合じゃない。ちょっと、当然想定すべき事とは思えない。
MEの動作モードとしてAMT有効と無効が選べるってだけでME自体は動いてて、MEはハードウェアレベルで組み込まれててAPIが非公開。特定のバイナリ列を含んだメモリアクセスやらパケット通信やらUSB周りやらにフック掛けて動作するような機能があれば、権限やドライバが無くても何かしらの動作を起こさせることが出来るし、その動作内容に脆弱性があればバックドアと化す。
そんな機能を悪意有るバックドア以外の目的で仕掛けるかは怪しいけど、脆弱性の有るTLSライブラリにオンメモリでパッチ当てますとかならありえなくもない。そんな機能があって、なおかつそれに脆弱性があれば、ブラウザのJavaScriptでJITされたコード(実行属性付き)がヒットしつつ脆弱性を突破するとかでNAPTもプロキシも突破してハードウェアまで到達する可能性が出て来る。難しい想定であることは確かだけど、ハードウェアレベルで組み込まれた「何してるか分からんソフトウェア」に対してそのくらい警戒されるのはまぁ仕方ないことだと思う。
なぜCeleronだけApploLakeと書かれていないのかは確かに引っかかりますが、クロックやコア数やGPUの実行ユニット以外は一緒のBayTrailやBraswellのPentiumが対象外なので、Celeron J/NもApploLakeが対象だと思われます。
その場合は一番早く出荷された製品はSkyLakeの2015年8月です。ApploLake搭載製品だと販売したメーカーがいい加減なので対応しないとか出荷したメーカーがなくなっててサポート引き継いだところもない、という事は考えられますが、古いから対応しないと言うにはまだ新しい製品に思えます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
調べてみました (スコア:1)
手元のマシン調べたら該当世代全て対象でした。この世代のCPUはアップデートしてなければ全て対象なのかもしれません。
Linux版は、Intel(R) MEI/TXEI driverいれないと、実行できません。それと、マニュアルがPDFなので、コンソールだけのサーバーだと読めません。
$ ./intel_sa00086.py
だけなので、テキストファイルのドキュメント位、入れておいて欲しい所です。
python3だと動かないので、python3がデフォルトのシステムの場合、
$ python2 ./intel_sa00086.py
とかしないと動かないです。
マザーやCPUの詳細はdmidecodeコマンドで調べられます。FreeBSDもPortsで入ります。
(出力が長いのでless推奨)
対象が5年以上前のマザーとかあるんですけど、メーカーが対策してくれる気がしません。最後のBIOSアップデートが2012年だったり。
確か、MEを自分でアップデートする方法があった気がしますが、これもそれで対応できるんでしょうか?
この脆弱性が実質的に攻撃可能になってるマシンは、それ程、多くない気がします。
まず、BIOSでセキュリティーパスワードを設定して、ME機能を有効化した上でIPを振らないといけないので。
普通に店で買ったPCをそのまま使っている分には影響ありませんし。
企業とかで有効にしていても、攻撃する為にはLAN内に入らないといけないので。
ME常時ONにして使ってる企業ってどれ位あるんでしょうか?デフォルトでONになってるPCやマザーがあったりするんですかね?
Re:調べてみました (スコア:1)
世代には拠るみたいですが
lenovoとか富士通のノートPCとか初期状態でAMT有効(=ME設定ON)になってる端末もあるみたいですよ
例
http://itwork100.com/intelamt-10-pc-set/ [itwork100.com]
Re: (スコア:0)
攻撃可能になる条件が実際には狭いのかもという主張に反対するわけではありませんが
下記のMEの記事によるとMEの完全無効化はできないとあります。
https://gigazine.net/news/20170829-disable-intel-me-11/ [gigazine.net]
貴殿の記載の「ME機能を有効化した上で」というあたりがどこから得られた知見なのか教えていただけると幸いです。
Re: (スコア:0)
それは、有効化と言う言葉の使い方が違うだけです。
その記事で無効化出来ないと言うのは、完全に停止してPC上で一切MEが起動していない状態に出来ないと言う意味で使っています。
対して#3317957での有効化はMEを使用して外部から操作できる状態にする(≒攻撃可能にする)と言う意味で有効化と言っています。
Re: (スコア:0)
当然想定すべき事かと思います。
Re: (スコア:0)
Linux上からMEの有効化設定の変更とか出来ないかと。
出来たとしても、ドライバとか入れないといけないし、最低でも再起動は必須だし。
そもそも、その時点でOSのrootやadmin取られてるのでMEとか言ってる場合じゃない。
ちょっと、当然想定すべき事とは思えない。
Re: (スコア:0)
MEの動作モードとしてAMT有効と無効が選べるってだけでME自体は動いてて、
MEはハードウェアレベルで組み込まれててAPIが非公開。
特定のバイナリ列を含んだメモリアクセスやらパケット通信やらUSB周りやらにフック掛けて動作するような機能があれば、
権限やドライバが無くても何かしらの動作を起こさせることが出来るし、その動作内容に脆弱性があればバックドアと化す。
そんな機能を悪意有るバックドア以外の目的で仕掛けるかは怪しいけど、
脆弱性の有るTLSライブラリにオンメモリでパッチ当てますとかならありえなくもない。
そんな機能があって、なおかつそれに脆弱性があれば、ブラウザのJavaScriptでJITされたコード(実行属性付き)がヒットしつつ脆弱性を突破するとかでNAPTもプロキシも突破してハードウェアまで到達する可能性が出て来る。
難しい想定であることは確かだけど、ハードウェアレベルで組み込まれた「何してるか分からんソフトウェア」に対してそのくらい警戒されるのはまぁ仕方ないことだと思う。
Re: (スコア:0)
なぜCeleronだけApploLakeと書かれていないのかは確かに引っかかりますが、
クロックやコア数やGPUの実行ユニット以外は一緒のBayTrailやBraswellのPentiumが対象外なので、Celeron J/NもApploLakeが対象だと思われます。
その場合は一番早く出荷された製品はSkyLakeの2015年8月です。
ApploLake搭載製品だと販売したメーカーがいい加減なので対応しないとか出荷したメーカーがなくなっててサポート引き継いだところもない、という事は考えられますが、古いから対応しないと言うにはまだ新しい製品に思えます。