Azure Sphere CVE

Microsoft의 목표는 잠재적인 취약성을 찾고 Microsoft의 조정된 취약성 공개 원칙 및 Microsoft Azure 현상금 프로그램에 따라 책임감 있게 보고하기 위해 Azure Sphere에 관심이 있는 보안 연구원에게 보상하는 것입니다. Azure Sphere 팀은 보안 연구 커뮤니티의 작업을 환영하고 인정하며 시간이 지남에 따라 솔루션을 안전하게 유지하는 데 도움을 줍니다.

보안 향상에 대해 투명하게 설명하려고 합니다. CVE 프로그램과 협력하여 현재 또는 이전 버전의 Azure Sphere OS에서 수정된 취약성에 대한 일반적인 취약성 및 노출(CVE)을 게시합니다.

CVE 게시의 고객 영향

OS에 대한 CVE는 수정을 사용할 수 있는 경우에만 게시됩니다. Azure Sphere를 실행하고 인터넷에 연결된 모든 디바이스가 자동으로 업데이트됩니다. 따라서 최신 버전을 실행하는 디바이스는 항상 보호됩니다. 새 디바이스이거나 잠시 동안 인터넷에 연결되지 않은 디바이스의 경우(예: OS 버전이 수정이 포함된 OS 버전보다 오래된 경우) 디바이스를 인터넷 액세스를 통해 안전한 프라이빗 로컬 네트워크에 연결하고 디바이스가 자동으로 업데이트되도록 허용하는 것이 좋습니다.

CVE 게시 원칙

CVE는 확장된 오프라인 기간 또는 Azure Sphere Security Service에 연결하기 전에 "기본 제공"으로 악용될 수 있는 Azure Sphere OS의 취약성에 대해 게시될 수 있습니다. 고객 애플리케이션의 취약성은 CVE를 할당하기 위한 scope 없습니다. 타사 소프트웨어에 대한 CVE는 해당 제조업체의 책임입니다.

CVE를 게시하는 취약성 유형은 다음 세 가지 방법으로 설명할 수 있습니다.

• 선제적 영향: Azure Sphere 디바이스의 전원이 꺼지고 디바이스를 가져오고 구성하는 동안 악용될 수 있는 함수를 수행하지 않는 경우와 관련된 취약성입니다.
• 보이지 않는 영향: Azure Sphere 디바이스가 함수를 적극적으로 수행하지만 기본 디바이스 기능을 중단하지 않고 악용될 수 있는 업데이트를 위해 Azure Sphere Security 서비스에 연결되지 않은 경우와 관련된 취약성입니다.
• 중단 영향: Azure Sphere 디바이스가 자동으로 업데이트를 받지 못하거나 업데이트 롤백을 트리거하는 취약성입니다.

Azure Sphere CVE의 내용

Azure Sphere용 CVE는 CVSS(Common Vulnerability Scoring System), 악용 가능성 인덱스 평가, Azure Sphere 관련 FAQ 및 이를 보고한 파인더에 대한 승인을 기반으로 하는 간단한 설명과 점수로 구성됩니다. 이 콘텐츠는 모든 CVE에 필요하며 Microsoft 제품의 모든 CVE에 포함됩니다.

Azure Sphere CVE가 게시되는 경우

고객이 수정 사항을 제공한 후 CVE 레코드는 매월 두 번째 화요일(즉, Microsoft 패치 화요일)에 게시됩니다. 취약성이 보고될 때마다 CVE가 불규칙하게 게시되고, 여기에 설명된 원칙을 충족하며, 사용 가능한 최신 버전의 Azure Sphere OS에서 수정될 것으로 예상합니다. 수정 사항을 공개적으로 사용할 수 있기 전에는 CVE를 게시하지 않습니다.

Azure Sphere CVE를 찾는 방법

Azure Sphere에 대해 게시된 모든 CVE 목록을 찾으려면 보안 업데이트 가이드의 키워드(keyword) 검색에 "Sphere"를 사용합니다.

게시된 Azure Sphere CVE는 취약성이 수정된 릴리스 의 새로운 기능 에도 나열됩니다.