つみかさね

CVE-2026-46728

High(8.2)

CVE-2026-46728 — Das U-Boot FIT署名検証バイパス

公開日: 2026-05-18データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Das U-Bootdenx< 2026.04

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1U-Boot を使用しているデバイスのバージョンを確認する
  2. 2FIT イメージのセキュアブート(署名検証)を有効にしているか確認する
  3. 3デバイスベンダーまたは U-Boot 公式から 2026.04 以降のアップデートを入手する
  4. 4ブートローダー更新手順に従い、検証環境でテスト後に本番適用する

影響対象

U-Boot 搭載の組み込みデバイス・IoT デバイス利用者

補足

  • -ブートローダーの更新は誤操作でデバイスが起動不能になるリスクがある。事前にバックアップを取得し、デバイス固有の手順を確認すること
CVEU-BootブートローダーセキュアブートIoT組み込み

概要

組み込みシステム向けブートローダー Das U-Boot の 2026.04 以前のバージョンに、FIT(Flat Image Tree)フォーマットの署名検証バイパス脆弱性が確認された(CVE-2026-46728)。

FIT イメージのハッシュ計算で対象とすべきノード(hashed-nodes)が省略された場合、署名検証が正常に機能しない。これにより、デジタル署名の検証をバイパスした改ざんイメージのブートが可能となる。セキュアブートを信頼の基点としているシステムでは、攻撃者によるカスタムファームウェアの起動につながる可能性がある。

CVSSベクトル

項目
CVSSスコア8.2(High)
CWECWE-346 Origin Validation Error
攻撃元区分(AV)ネットワーク(または物理アクセス、構成による)
攻撃条件の複雑さ(AC)
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Das U-Bootdenx2026.04 より前のバージョン

FIT イメージのセキュアブート(signature verification)を有効にしている環境が対象。U-Boot を使用する組み込みデバイス、NAS、シングルボードコンピュータ(Raspberry Pi 系など含む)が広く影響を受ける可能性がある。

修正バージョンと回避策

  • 修正バージョン: U-Boot 2026.04 以降
  • 推奨対応: ブートローダーのアップデート(デバイス固有のフラッシュ手順に従うこと)
  • 暫定対応: FIT イメージを生成する際に hashed-nodes を必ず含める運用ルールを徹底する
  • バリデーションが困難な場合、物理アクセス制御でデバイスを保護する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-46728
GitHub Advisory:https://github.com/barebox/barebox/security/advisories/GHSA-3fvj-q26p-j6h4
U-Boot patch:https://github.com/u-boot/u-boot/commit/2092322b31cc8b1f8c9e2e238d1043ae0637b241
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。