VU#132380: EDK2 NetworkPkg IP スタック実装における脆弱性

Tianocore EDKIIのTCP/IPスタック（NetworkPkg）に複数の脆弱性が発見され、リモートコード実行、サービス拒否（DoS）、DNSキャッシュポイズニング、または機密情報漏洩につながる可能性があります。これらの脆弱性は、まとめてPixieFailとして知られており、バッファオーバーフロー、予測可能なランダム化、不適切なパースなどの問題に起因しています。影響を受けるコードは、さまざまなベンダーのファームウェア実装で使用されています。成功した悪用には、PXEブートオプションが有効になっている必要があり、影響はファームウェアビルドとPXEブート構成によって異なります。ローカル、場合によってはリモートの攻撃者がこれらの脆弱性を悪用する可能性があります。PXEブートを無効にし、ネットワーク分離を強制し、安全なOS展開を導入することが推奨される軽減策です。ユーザーは、ベンダー固有のアドバイザリを参照し、最新の安定版ファームウェアバージョンにアップデートを適用する必要があります。Tianocore EDKIIの下流ユーザーは、修正を含む最新バージョンにアップデートする必要があります。安全なOS展開の実施と、UEFI HTTPSブートなどの最新のネットワークブート環境への移行は、セキュリティを強化できます。これらの脆弱性の調査と報告については、Quarkslabに感謝します。