この製品は、デバッグメッセージ内に不必要で潜在的にセンシティブなシステム情報が明らかになることを適切に防止していません。
デバッグ・メッセージは、システムの内部状態を明らかにすることで、問題のトラブルシューティングに役立つメッセージです。例えば、設計上のデバッグ・データは、内部メモリ・アレイのダンプや、TAPコマンドを介したUART、スキャン・チェインなどのインターフェイスを介したブート・ログを通じて公開することができます。このように、デバッグ・メッセージに含まれる情報が多ければ多いほど、デバッグは容易になります。しかし、攻撃者が脆弱性を解読したり、システムをより深く理解したりするのに役立つ情報を明らかにするリスクもあります。したがって、このような余分な情報は、「不明瞭さによる安全性」の要素を低下させる可能性があります。曖昧さによるセキュリティ」だけでは不十分ですが、「深層防衛」の一部として役立つことがあります。
The product fails to adequately prevent the revealing of unnecessary and potentially sensitive system information within debugging messages.
Debug messages are messages that help troubleshoot an issue by revealing the internal state of the system. For example, debug data in design can be exposed through internal memory array dumps or boot logs through interfaces like UART via TAP commands, scan chain, etc. Thus, the more information contained in a debug message, the easier it is to debug. However, there is also the risk of revealing information that could help an attacker either decipher a vulnerability, and/or gain a better understanding of the system. Thus, this extra information could lower the "security by obscurity" factor. While "security by obscurity" alone is insufficient, it can help as a part of "Defense-in-depth".