概要
barebox ブートローダー に おける FIT(Flattened Image Tree)イメージ 署名 検証 の 不備 です。署名 ノード 内 の hashed-nodes プロパティ が ハッシュ 対象 に 含まれて いない ため、署名 済み の FIT イメージ の 構成 を 改ざん できて しまう 問題 が 存在 します。
CWE-345(Insufficient Verification of Data Authenticity)に 分類 される この 問題 に より、攻撃者 は 署名 検証 を 通過 しつつ、ブート イメージ の 内容 を 改変 する こと が 可能 です。セキュアブート チェーン の 信頼性 が 損なわれ、任意 コード の 実行 に つながる おそれ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.2 (High) |
| CWE | CWE-345(データ完全性検証の不備) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- barebox(2016.03.0 以上 2025.09.3 未満)
- barebox(2025.10.0 以上 2026.03.1 未満)
修正バージョンと回避策
- 修正バージョン: 2025.09.3 または 2026.03.1 以降 へ アップデート してください
- 暫定回避策: FIT イメージ の 配信 経路 を 物理的 に 保護 し、改ざん の 機会 を 制限 する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。