デバイスブートローダ「Das U-Boot」に、未対応の複数の脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.25(月)

デバイスブートローダ「Das U-Boot」に、未対応の複数の脆弱性(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は9月12日、DENX Software Engineeringが提供する、AESで暗号化されたファイルから設定を読み込むことができるデバイスブートローダ「Das U-Boot」に、複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは5.7。

「Das U-Boot」には、CBCモードで使用する初期化ベクトルの値がランダムでない脆弱性(CVE-2017-3225)、および処理時間の違いに起因する情報漏えいの脆弱性(CVE-2017-3226)が存在する。これらの脆弱性が悪用されると、デバイスにアクセス可能な攻撃者により、デバイス内のコンテンツを復号される可能性がある。なお、現時点で対策方法は公表されていない。

《吉澤 亨史》

関連記事

PageTop

特集

アクセスランキング

  1. Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)

    Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)

  2. アジア地域のセキュリティリーダー、6名の日本人がISLA賞を受賞((ISC)2)

    アジア地域のセキュリティリーダー、6名の日本人がISLA賞を受賞((ISC)2)

  3. BCCをTOに、メール誤送信366人分アドレス流出(和歌山市)

    BCCをTOに、メール誤送信366人分アドレス流出(和歌山市)

  4. 海にこぎ出す穴だらけの船舶 IoT システム、航路変換も可能(The Register)

    海にこぎ出す穴だらけの船舶 IoT システム、航路変換も可能(The Register)

  5. いまだ9万人がP2Pファイル共有ソフト利用、著作権侵害ファイル存在(ネットエージェント)

    いまだ9万人がP2Pファイル共有ソフト利用、著作権侵害ファイル存在(ネットエージェント)

  6. アカウント情報の有効期限が切れたとする、MUFGカードを騙るフィッシング(フィッシング対策協議会)

    アカウント情報の有効期限が切れたとする、MUFGカードを騙るフィッシング(フィッシング対策協議会)

  7. 3種類のエンジンを搭載する、Windows向け無料セキュリティ対策ソフト(エクサゴン)

    3種類のエンジンを搭載する、Windows向け無料セキュリティ対策ソフト(エクサゴン)

  8. 法人 iOS、Android 端末向けセキュリティサービス(ソフトバンク)

    法人 iOS、Android 端末向けセキュリティサービス(ソフトバンク)

  9. 超絶うっかり注意:GDPR 対応完了メール送信し情報漏えい、海外で炎上事案大量発生(The Register)

    超絶うっかり注意:GDPR 対応完了メール送信し情報漏えい、海外で炎上事案大量発生(The Register)

  10. 患者5名の個人情報が記録されたUSBメモリを紛失(小諸高原病院)

    患者5名の個人情報が記録されたUSBメモリを紛失(小諸高原病院)

ランキングをもっと見る