2つのセキュリティの脆弱性, CVE-2022-30790およびCVE-2022-30552, U-bootで発見されました, 組み込みシステムで人気のあるブートローダー.
ローダーには、さまざまなアーキテクチャー向けの多くの実装があります, ほとんどのLinuxベースの組み込みシステムに存在します, ChromeOSとAndroidを含む. 2つの脆弱性は、IPデフラグアルゴリズムに存在します.
u-bootの開発は「Linuxと密接に関連している」ことに注意する必要があります. プロジェクトのGitHubページによると, そのソースコードの一部は、Linuxのソースコードツリーに由来しています。, いくつかのヘッダーファイルが共通しています.
CVE-2022-30790およびCVE-2022-30552
脆弱性は、任意の範囲外の書き込み攻撃に悪用される可能性があります, サービス拒否攻撃のシナリオと同様に:
- テクニカルアドバイザリ– U-Boot IPパケットデフラグでのホール記述子の上書きにより、任意の範囲外の書き込みプリミティブが発生する (CVE-2022-30790);
- テクニカルアドバイザリ–大きなバッファオーバーフローは、U-BootIPパケットデフラグコードのDoSにつながります (CVE-2022-30552).
CVE-2022-30790 RFC815 IP DATAGRAMREASSEMBLYALGORITHMSのU-Boot実装に影響します, これは、最終的に任意の書き込みプリミティブにつながるホール記述子上書き攻撃の影響を受けやすくなります.
CVE-2022-30552 全長が無効な特別に細工された断片化されたIPデータグラムを介してバッファオーバーフローが発生し、サービス拒否が発生する可能性があります.
どちらの問題も、ローカルネットワークからのみ悪用できます, これにより、攻撃者がデバイスをルート化して実行できるようになる可能性があります DoS攻撃 不正な形式のパケットを介して. 修正はまもなく利用可能になります, ユーザーはできるだけ早く最新バージョンに更新する必要があります. 詳細については、 公式アドバイザリー.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: