JVNVU#96957535
EDK2 NetworkPkg IPスタック実装における複数の脆弱性

Tianocoreプロジェクトが提供するEDK2 NetworkPkg IPスタック実装には、複数の脆弱性があります。

• Tianocore EDKIIのTCP/IPスタック（NetworkPkg）202311およびそれ以前

Unified Extensible Firmware Interface（UEFI）のオープンソース実装であるTianocore EDKIIのTCP/IP スタック（NetworkPkg）に、以下を含む9件の脆弱性が検出されました。これら脆弱性は、PXEブートオプションが有効な場合に悪用されます。
発見者は、これら脆弱性を「PixieFail」と呼んでいます。

• バッファオーバーフロー
• 予測可能なランダム化
• 不適切な解析

想定される影響は各脆弱性およびご利用環境により異なりますが、ローカル（場合によってはリモート）ネットワーク上の攻撃者によって、次のような影響を受ける可能性があります。

• リモートコード実行
• DoS攻撃
• DNSキャッシュポイズニング
• 機微な情報の取得

ご利用の環境に応じて、各開発者が提供する情報をご確認ください。

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
2024年1月17日時点で、本脆弱性の内の7つはTianocoreプロジェクトによってパッチが提供されています。
詳細は、 Tianocoreプロジェクトの提供する情報をご確認ください。

ネットワークセキュリティを強化する
次の回避策適用を検討してください。

• PXEブートが不要な場合は、無効にする
• 安全なネットワークでUEFIプリブート環境を利用する
• ダイナミックARPインスペクションやDHCPスヌーピングなどの機能を利用し不正なDHCPサービスから保護する