SIDfm vs. JVN iPedia
-- 脆弱性の影響範囲に見る両者の「違い」 --
SIDfmの情報と機能
2020.2.21
SIDfm と JVN iPedia は、脆弱性情報の提供の観点では同様の機能を持ちますが、脆弱性の影響範囲の記載には次のような違いが存在します。
- JVN Pedia は CVE で直接言及される製品(*1)については影響製品に記載があるが、脆弱性のある製品をコンポーネントとして含む製品についてはあまり記載が無い傾向にある
- SIDfm はコンポーネントとして含む製品についても影響製品に記載している
- SIDfm は Linux ディストリビューションへの影響も記載している
(*1) SIDfm での「製品」とは、Red Hat Enterprise Linux などの OS、Apache Struts などのミドルウェア、Cisco IOS などのハードウェアに搭載されるソフトウェアや一部のハードウェアなど、SIDfm で扱っている脆弱性情報提供の対象となるソフトウェアやハードウェアを示します。なお、JVN iPediaでは、これを「影響を受けるシステム」と表記している。
この違いにより、SIDfm は脆弱性内容の把握と評価の場面において、以下のようなアドバンテージがあります。
SIDfm のアドバンテージ
- 影響を受けるソフトウェアが含まれる、ソフトウェア製品が「網羅的に把握」できる
- CSIRTにおける緊急のインシデントの脆弱性調査において、影響を受ける製品の全体把握が短時間で可能
ここでいくつかの脆弱性について取り上げ、影響範囲の記載を比較いたします。
*1 JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA) によって運営されている脆弱性対策情報データベースです。
Apache Commons FileUpload の DiskFileItem クラスの処理に任意のファイルを上書きされる問題 (CVE-2016-1000031)
JVN iPedia の「影響を受けるシステム」に記載された影響範囲は「Apache Software Foundation」のみとなっています。これに対し SIDfm では、「Apache Struts」や「Apache Solr」など、Commons FileUpload をコンポーネントとして含む製品も影響を受ける製品として扱われます。
JVNDB-2016-005626 Apache Commons FileUpload の DiskFileItem におけるファイルを操作される脆弱性
https://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-005626.html
JVN iPedia の「概要」には
「なお、ベンダは、「調査の結果、Apache Commons File Upload の脆弱性ではないとの結論に至りました。アプリケーションが信頼できないソースからのデータをフィルタリングせずに、あるいは検証せずにデシリアライズした場合、攻撃者に利用される可能性があるのはアプリケーションの脆弱性であってライブラリの脆弱性ではありません。」と述べています。」
との記載がある一方、SIDfm の脆弱性コンテンツにはそのような記述はありません。なぜこのような差異が発生するのでしょうか? それは SIDfm では、開発元のコメントを参照するだけではなく、多数の脆弱性情報を取り扱ってきた専門家としての見解を加えた上で脆弱性コンテンツを作成しているからです。当該脆弱性コンテンツも、JVN iPedia で言及されている点も確認したうえで、なお Apache Commons File Upload には問題があると判断しています。機械的な翻訳や参照ではない。それが SIDfm です。
Git に任意のコマンドを実行される問題 (CVE-2019-1387)
JVN iPedia 影響範囲は「Git project Git」のみですが、SIDfm では影響を受ける Git の詳細なバージョンのみならず、Microsoft Visual Studio 等、Git を組み込んでいる製品も影響を受けるものとして扱われます。また Red Hat Enterprise Linux や Ubuntu など、公式が git パッケージをメンテナンスしている Linux ディストリビューションも、影響を受ける製品として扱われます。
JVN iPedia
JVNDB-2019-013743 Git における入力確認に関する脆弱性
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-013743.html
SIDfm
SIDfmの脆弱性データベースをCVE-2019-1387で検索すると、関連する9件の製品がリストアップされる。
以下の図は、Microsoft Visual Studio に組み込まれている git の脆弱性チケットの表示である。
Tomcat のデフォルトサーブレットの処理に任意のサイトへリダイレクトされる問題 (CVE-2018-11784)
SIDfm では Tomcat を利用する「Oracle Database」や「JBoss Enterprise Web Server」も影響製品となります。なお JVN iPedia で影響有りとされている「NetApp Snap Creator Framework」は、SIDfm では取り扱っていない製品のため、影響を受ける製品にはリストされておりません。
| SIDfm | JVN iPedia | ||
|---|---|---|---|
| 製品名 | バージョン | メーカー名 | バージョン |
| Tomcat | 9.0.0 ~ 9.0.11 | Apache Software Foundation | Apache Tomcat 9.0.0.M1 ~ 9.0.11 |
| 8.5.0 ~ 8.5.33 | Apache Tomcat 8.5.0 ~ 8.5.33 | ||
| 7.0.23 ~ 7.0.90 | Apache Tomcat 7.0.23 ~ 7.0.90 | ||
| Ubuntu | 16.04 LTS | Canonical | Ubuntu |
| 14.04 LTS | |||
| Debian GNU/Linux | 9.0 | Debian | Debian GNU/Linux |
| Red Hat | Enterprise Linux 8 | NetApp | Snap Creator Framework |
| Enterprise Linux Server 7 | |||
| Enterprise Linux Workstation 7 | |||
| Enterprise Linux Desktop 7 | |||
| Enterprise Linux HPC Node 7 | |||
| CentOS | 7 | ||
| Amazon Linux AMI | 2 | ||
| 1 | |||
| JBoss Enterprise Web Server | 3 EL7 | ||
| 3 EL6 | |||
| 5 EL7 | |||
| 5 EL6 | |||
| Oracle Database | 12.2.0.1, 18c, 19c | ||
| Oracle Solaris | 11.4 (サードパーティ製ソフトウェア) | ||
このような差異が発生する理由は、SIDfm が「製品開発元のアドバイザリ」を元に脆弱性コンテンツを作成しているためです。SIDfm では製品開発元の情報も追跡していることから、コンポーネントとして利用している製品への影響の追跡が可能となっております。
影響範囲のより正確な追跡が可能な SIDfm のご利用をぜひご検討ください。
脆弱性からの組織防衛のために
あなたの組織で脆弱性が対策されていることを確認できますか? 弊社の継続的脆弱性管理ツール SIDfm VM は、管理対象のホストで使用するソフトウェアで新しく報告された脆弱性のピックアップを行い、影響判定や対策工程の把握まで、脆弱性管理をトータルでカバーいたします。
脆弱性の調査やパッチ探しは一切不要!
脆弱性対策を自動化できるので工数大幅削減!
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる!
それらを全て実現するサービスがあります。
脆弱性管理ツール「SIDfm VM」について詳しくはこちらから