ブログ IP住所検索
CWE一覧に戻る
CWE-1329

更新不可能なコンポーネントへの依存

Reliance on Component That is Not Updateable
脆弱性 作成中
日本語説明
JA

製品に、脆弱性や重大なバグを取り除くためのアップデートやパッチ適用ができないコンポーネントが含まれている。

コンポーネントに脆弱性や致命的なバグが発見されたにもかかわらず、アップデートやパッチを使用してその問題を修正できない場合、製品の所有者はその問題から保護することができません。 唯一の選択肢は製品の交換かもしれないが、それは製品オーナーにとって金銭的にも運用的にも高すぎる可能性がある。 その結果、パッチやアップデートができないために、攻撃者に悪用されたり、致命的な動作不良が発生したりする可能性がある。この弱点は、ROM、ファームウェア、あるいは、従来からアップデート機能が限定的であ ったか、あるいは全くなかった類似のコンポーネントを使用する場合に、特に管理が難しくなる可能 性がある。

ヘルスケアのような業界では、"レガシー "機器
デバイスは、何十年も運用されることがある。 ある
米国のタスクフォース報告書[REF-1197]によれば、「機器の更新や交換ができないことで
機器の更新や交換ができないことが
大小の医療提供組織が
を抱え、苦闘している。
サポートされていないレガシーシステム
ハードウェア、ソフトウェア
オペレーティング・システム)には
脆弱性が多数存在し、最新の
"である。

ハードウェアがこの弱点に陥りやすい一方で、ソフトウェアシステムも影響を受ける可能性がある。例えば、サードパーティのドライバやライブラリが積極的な保守やサポートを受けられなくなったが、必要な機能にとっては依然として重要である場合などだ。

原文 (English)
EN

The product contains a component that cannot be updated or patched in order to remove vulnerabilities or significant bugs.

If the component is discovered to contain a vulnerability or critical bug, but the issue cannot be fixed using an update or patch, then the product's owner will not be able to protect against the issue. The only option might be replacement of the product, which could be too financially or operationally expensive for the product owner. As a result, the inability to patch or update can leave the product open to attacker exploitation or critical operation failures. This weakness can be especially difficult to manage when using ROM, firmware, or similar components that traditionally have had limited or no update capabilities.

In industries such as healthcare, "legacy"
devices can be operated for decades. As a
US task force report [REF-1197] notes, "the inability
to update or replace equipment has both
large and small health care delivery
organizations struggle with numerous
unsupported legacy systems that cannot
easily be replaced (hardware, software, and
operating systems) with large numbers of
vulnerabilities and few modern
countermeasures."

While hardware can be prone to this weakness, software systems can also be affected, such as when a third-party driver or library is no longer actively maintained or supported but is still critical for the required functionality.

関連する脆弱性
CWE-1357 十分に信頼できない部品への依存 CWE-1357 十分に信頼できない部品への依存 CWE-664 資源のライフタイムを通じての不適切な管理
想定される影響
Scope: Confidentiality, Integrity, Access Control, Authentication, Authorization, Other / Impact: Gain Privileges or Assume Identity; Bypass Protection Mechanism; Execute Unauthorized Code or Commands; DoS: Crash, Exit, or Restart; Quality Degradation; Reduce Maintainability
対策・緩和策
Specify requirements that each component should be updateable, including ROM, firmware, etc.
Design the product to allow for updating of its components. Include the external infrastructure that might be necessary to support updates, such as distribution servers.
With hardware, support patches that can be programmed in-field or during manufacturing through hardware fuses. This feature can be used for limited patching of devices after shipping, or for the next batch of silicon devices manufactured, without changing the full device ROM.
Implement the necessary functionality to allow each component to be updated.
外部リンク
MITRE公式ページ — CWE-1329