目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-1323 类漏洞列表 2

CWE-1323 类弱点 2 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-1323 属于敏感数据管理不当漏洞,主要涉及系统级芯片(SoC)中实时追踪内部信号的调试数据。攻击者可通过访问未受保护的存储位置或拦截传输过程,窃取这些包含敏感逻辑状态的追踪数据,进而推断系统架构或提取机密信息。开发者应避免将此类数据存储在明文或公共区域,并采用加密传输及严格的访问控制机制,确保仅授权实体可访问,从而防止敏感追踪信息泄露。

MITRE CWE 官方描述
CWE:CWE-1323 敏感跟踪数据管理不当 英文:从片上系统(SoC)上的多个源收集的跟踪数据存储在未受保护的位置或传输给不受信任的代理。 为了促进复杂片上系统(SoC)设计的验证,SoC 集成商添加了特定的 IP 块,以实时跟踪 SoC 的内部信号。该基础设施实现了对 SoC 内部行为的可观测性、功能设计的验证以及硬件和软件缺陷的检测。此类跟踪 IP 块从 SoC 上的多个源(包括 CPU、加密协处理器和片上互连网络)收集跟踪数据。从这些源收集的跟踪数据随后在跟踪 IP 块内聚合,并转发给跟踪接收器(trace sinks),例如由外部硬件和软件调试器用于调试的调试跟踪端口。由于这些跟踪数据是从多个安全敏感源收集的,因此必须防止不受信任的调试器访问。如果它们存储在未受保护的内存中,不受信任的软件调试器可以访问这些跟踪数据并提取秘密信息。此外,如果安全敏感的跟踪数据未标记为安全,不受信任的硬件调试器可能会访问它们以提取机密信息。
常见影响 (1)
ConfidentialityRead Memory
An adversary can read secret values if they are captured in debug traces and stored unsafely.
缓解措施 (1)
ImplementationTag traces to indicate owner and debugging privilege level (designer, OEM, or end user) needed to access that trace.
代码示例 (1)
In a SoC, traces generated from sources include security-sensitive IP blocks such as CPU (with tracing information such as instructions executed and memory operands), on-chip fabric (e.g., memory-transfer signals, transaction type and destination, and on-chip-firewall-error signa…
The traces do
                        not have any privilege level attached to them. All
                        collected traces can be viewed by any debugger (i.e., SoC
                        designer, OEM debugger, or end user).
Bad · Other
Some of the
                        traces are SoC-design-house secrets, while some are OEM
                        secrets. Few are end-user secrets and the rest are
                        not security-sensitive. Tag all traces with the
                        appropriate, privilege level at the source. The bits
                        indicating the privilege level must be immutable in
                        their transit from trace source to the final, trace
                        sink. Debugger privilege level must be checked before
                        providing access to traces.
Good · Other
CVE ID标题CVSS风险等级Published
CVE-2024-54173 IBM MQ 安全漏洞 — MQ 4.7 Medium2025-02-28
CVE-2024-49338 IBM App Connect Enterprise 安全漏洞 — App Connect Enterprise 4.4 Medium2025-01-18

CWE-1323 是常见的弱点类别,本平台收录该类弱点关联的 2 条 CVE 漏洞。