#SIDfm

脆弱性の管理と対策に纏わる話

  • 脆弱性情報 /
  • 脆弱性の管理の方法、プロセスの自動化 /
  • パッチ対応の自動化、SOAR

SIDfm™ vs. JVN iPedia
-- 脆弱性の影響範囲に見る両者の「違い」 --

SIDfmの情報と機能

2020.2.21

SIDfm™JVN iPedia は、脆弱性情報の提供の観点では同様の機能を持ちますが、脆弱性の影響範囲の記載には次のような違いが存在します。

  1. JVN Pedia は CVE で直接言及される製品(*1)については影響製品に記載があるが、脆弱性のある製品をコンポーネントとして含む製品についてはあまり記載が無い傾向にある
  2. SIDfm™ はコンポーネントとして含む製品についても影響製品に記載している
  3. SIDfm™ は Linux ディストリビューションへの影響も記載している

(*1) SIDfm™ での「製品」とは、Red Hat Enterprise Linux などの OS、Apache Struts などのミドルウェア、Cisco IOS などのハードウェアに搭載されるソフトウェアや一部のハードウェアなど、SIDfm™ で扱っている脆弱性情報提供の対象となるソフトウェアやハードウェアを示します。なお、JVN iPediaでは、これを「影響を受けるシステム」と表記している。

この違いにより、SIDfm™ は脆弱性内容の把握と評価の場面において、以下のようなアドバンテージがあります。

SIDfm のアドバンテージ
  • 影響を受けるソフトウェアが含まれる、ソフトウェア製品が「網羅的に把握」できる
  • CSIRTにおける緊急のインシデントの脆弱性調査において、影響を受ける製品の全体把握が短時間で可能

ここでいくつかの脆弱性について取り上げ、影響範囲の記載を比較いたします。

*1 JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA) によって運営されている脆弱性対策情報データベースです。

Apache Commons FileUpload の DiskFileItem クラスの処理に任意のファイルを上書きされる問題 (CVE-2016-1000031)

JVN iPedia の「影響を受けるシステム」に記載された影響範囲は「Apache Software Foundation」のみとなっています。これに対し SIDfm™ では、「Apache Struts」や「Apache Solr」など、Commons FileUpload をコンポーネントとして含む製品も影響を受ける製品として扱われます。

JVNDB-2016-005626 Apache Commons FileUpload の DiskFileItem におけるファイルを操作される脆弱性
https://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-005626.html

JVN iPedia の「概要」には

「なお、ベンダは、「調査の結果、Apache Commons File Upload の脆弱性ではないとの結論に至りました。アプリケーションが信頼できないソースからのデータをフィルタリングせずに、あるいは検証せずにデシリアライズした場合、攻撃者に利用される可能性があるのはアプリケーションの脆弱性であってライブラリの脆弱性ではありません。」と述べています。」

との記載がある一方、SIDfm™ の脆弱性コンテンツにはそのような記述はありません。なぜこのような差異が発生するのでしょうか? それは SIDfm™ では、開発元のコメントを参照するだけではなく、多数の脆弱性情報を取り扱ってきた専門家としての見解を加えた上で脆弱性コンテンツを作成しているからです。当該脆弱性コンテンツも、JVN iPedia で言及されている点も確認したうえで、なお Apache Commons File Upload には問題があると判断しています。機械的な翻訳や参照ではない。それが SIDfm™ です。

Git に任意のコマンドを実行される問題 (CVE-2019-1387)

JVN iPedia 影響範囲は「Git project Git」のみですが、SIDfm™ では影響を受ける Git の詳細なバージョンのみならず、Microsoft Visual Studio 等、Git を組み込んでいる製品も影響を受けるものとして扱われます。また Red Hat Enterprise Linux や Ubuntu など、公式が git パッケージをメンテナンスしている Linux ディストリビューションも、影響を受ける製品として扱われます。

JVN iPedia

JVNDB-2019-013743 Git における入力確認に関する脆弱性
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-013743.html

SIDfm

SIDfmの脆弱性データベースをCVE-2019-1387で検索すると、関連する9件の製品がリストアップされる。

SIDfm のコンテンツイメージ例

以下の図は、Microsoft Visual Studio に組み込まれている git の脆弱性チケットの表示である。

SIDfm のVisual Studio コンテンツイメージ例

Tomcat のデフォルトサーブレットの処理に任意のサイトへリダイレクトされる問題 (CVE-2018-11784)

SIDfm™ では Tomcat を利用する「Oracle Database」や「JBoss Enterprise Web Server」も影響製品となります。なお JVN iPedia で影響有りとされている「NetApp Snap Creator Framework」は、SIDfm では取り扱っていない製品のため、影響を受ける製品にはリストされておりません。

SIDfm JVN iPedia
製品名 バージョン メーカー名 バージョン
Tomcat 9.0.0 ~ 9.0.11 Apache Software Foundation Apache Tomcat 9.0.0.M1 ~ 9.0.11
8.5.0 ~ 8.5.33 Apache Tomcat 8.5.0 ~ 8.5.33
7.0.23 ~ 7.0.90 Apache Tomcat 7.0.23 ~ 7.0.90
Ubuntu 16.04 LTS Canonical Ubuntu
14.04 LTS
Debian GNU/Linux 9.0 Debian Debian GNU/Linux
Red Hat Enterprise Linux 8 NetApp Snap Creator Framework
Enterprise Linux Server 7
Enterprise Linux Workstation 7
Enterprise Linux Desktop 7
Enterprise Linux HPC Node 7
CentOS 7
Amazon Linux AMI 2
1
JBoss Enterprise Web Server 3 EL7
3 EL6
5 EL7
5 EL6
Oracle Database 12.2.0.1, 18c, 19c
Oracle Solaris 11.4 (サードパーティ製ソフトウェア)

このような差異が発生する理由は、SIDfm™ が「製品開発元のアドバイザリ」を元に脆弱性コンテンツを作成しているためです。SIDfm™ では製品開発元の情報も追跡していることから、コンポーネントとして利用している製品への影響の追跡が可能となっております。

影響範囲のより正確な追跡が可能な SIDfm™ のご利用をぜひご検討ください。



脆弱性と対策のことなら

SIDfm™

  • お問い合わせ

    SIDfm™ 各種サービスの使用法や購入において気になる点などお気軽にお問い合わせ下さい。

    お問い合わせ
  • 無料でトライアル

    SIDfm™ の VM、RA、Biz を実際に無料で使ってみてください。

    無料で試してみる