Azure Sphere CVE

Important

Azure Sphere(레거시) 설명서입니다. Azure Sphere(레거시)는 2027년 9월 27일에 사용 중지되며 사용자는 이 시간까지 Azure Sphere(통합)로 마이그레이션해야 합니다. TOC 위에 있는 버전 선택기를 사용하여 Azure Sphere(통합) 설명서를 볼 수 있습니다.

Microsoft의 목표는 잠재적 취약성을 찾고 Microsoft의 조정된 취약성 공개 원칙 및 Microsoft Azure 장려금 프로그램에 따라 책임감 있게 보고하기 위해 Azure Sphere에 관심이 있는 보안 연구원에게 보상하는 것입니다. Azure Sphere 팀은 보안 연구 커뮤니티의 작업을 환영하고 인정하며 시간이 지남에 따라 솔루션을 안전하게 유지하는 데 도움을 줍니다.

보안 향상에 대해 투명하게 설명하려고 합니다. CVE 프로그램과 협력하여 현재 또는 이전 버전의 Azure Sphere OS에서 수정된 취약성에 대한 일반적인 취약성 및 노출(CVE)을 게시합니다.

게시 CVE의 고객 영향

OS에 대한 CVE는 수정을 사용할 수 있는 경우에만 게시됩니다. Azure Sphere를 실행하고 인터넷에 연결된 모든 디바이스는 자동으로 업데이트됩니다. 따라서 최신 버전을 실행하는 디바이스는 항상 보호됩니다. 새로운 디바이스이거나 잠시 동안 인터넷에 연결되지 않은 디바이스(예: OS 버전이 수정 사항이 포함된 OS 버전보다 오래된 경우)의 경우 디바이스를 인터넷 액세스를 통해 안전한 프라이빗 로컬 네트워크에 연결하고 디바이스가 자동으로 업데이트되도록 하는 것이 좋습니다.

CVE 게시 원칙

CVE는 "기본 제공", 확장된 오프라인 기간 또는 Azure Sphere Security Service에 연결하기 전에 악용될 수 있는 Azure Sphere OS의 취약성에 대해 게시될 수 있습니다. 고객 애플리케이션의 취약성은 CVE를 할당하기 위한 범위를 벗어났습니다. 타사 소프트웨어에 대한 CVE는 해당 제조업체의 책임입니다.

CVE를 게시하는 취약성 유형은 다음 세 가지 방법으로 설명할 수 있습니다.

• 선점 영향: Azure Sphere 디바이스의 전원이 꺼지고 디바이스를 가동하고 구성하는 동안 악용될 수 있는 함수를 수행하지 않는 경우와 관련된 취약성입니다.
• 보이지 않는 영향: Azure Sphere 디바이스가 함수를 적극적으로 수행하고 있지만 기본 디바이스 기능을 방해하지 않고 악용될 수 있는 업데이트를 위해 Azure Sphere Security 서비스에 연결되지 않은 경우와 관련된 취약성입니다.
• 중단 영향: Azure Sphere 디바이스가 업데이트를 자동으로 수신하지 못하게 하거나 업데이트 롤백을 트리거하는 취약성입니다.

Azure Sphere CVE의 내용

Azure Sphere용 CVE는 CVSS(Common Vulnerability Scoring System), 악용 가능성 인덱스 평가, Azure Sphere 관련 FAQ 및 이를 보고한 파인더에 대한 승인을 기반으로 하는 간단한 설명 및 점수로 구성됩니다. 이 콘텐츠는 모든 CVE에 필요하며 Microsoft 제품의 모든 CVE에 포함됩니다.

Azure Sphere CVE가 게시되는 경우

CVE 레코드는 고객이 수정한 후 해당 월의 두 번째 화요일(즉, Microsoft 패치 화요일)에 게시됩니다. 취약성이 보고될 때마다 CVE가 불규칙하게 게시되고 여기에 설명된 원칙을 충족하며 사용 가능한 최신 버전의 Azure Sphere OS에서 수정될 것으로 예상합니다. 수정 사항을 공개적으로 사용할 수 있기 전에는 CVE를 게시하지 않습니다.

Azure Sphere CVE를 찾는 방법

Azure Sphere에 대해 게시된 모든 CVE 목록을 찾으려면 보안 업데이트 가이드에서 키워드 검색에 "Sphere"를 사용합니다.

게시된 Azure Sphere CVE는 취약성이 수정된 릴리스의 새로운 기능에도 나열됩니다.