セキュリティホール詳細情報の見方


個々の脆弱性に対する詳細情報として、SIDfm セキュリティホール情報を利用できます。セキュリティホールの詳細情報の見方を説明します。

セキュリティホール詳細情報の見方

  • タイトル

    SIDfm™ のセキュリティホールタイトルです。

  • ID

    SIDfm™ がセキュリティホールコンテンツに対して一意に割り当てる ID です。セキュリティホールの特定に役立ちます。お問い合わせの際にご指定ください。

  • 登録日

    セキュリティホールの詳細情報が、SIDfm™ に登録された日付です。

  • 最終更新日

    セキュリティホールの詳細情報が、最後に更新された日付です。

  • CVSS スコア

    CVSS 基本値の最大値です。CVSS 3 の基本値が優先して表示されます。CVSS 3 のスコアが存在しない場合は、CVSS 2 の値が表示されます。

  • 影響範囲

    セキュリティホールの影響範囲を表します。ソフテックの評価基準です。

  • リモート 認証を必要とせず、ネットワークを経由して影響を受ける可能性のあるもの
    ローカル 認証によりシステムへのアクセス権限を持つ攻撃者から影響を受ける可能性のあるもの
    システムへ物理的にアクセスできる攻撃者から影響を受ける可能性のあるもの
    クライアント クライアントアプリケーションをユーザが操作することによって影響を受けるもの
  • 危険度

    セキュリティホールの危険度を [Critical / High / Medium / Low] の 4 段階で表すソフテックの評価基準です。ソフテックがセキュリティホール情報の危険度を判断して付与しています。

  • Critical High もしくは Medium であり、かつ、以下を満たす場合
    • フレームワークやライブラリ等においてデフォルトの設定状態で影響を受ける場合
    • 攻撃コードが既に確認されている場合
    製品ベンダの指標や説明で重大な影響を受けると判断できるもの
    High リモートから認証無しでシステムの制御を奪われる可能性のあるもの
    リモートから認証無しで重大な機密情報を取得される可能性のあるもの
    リモートから広範囲に影響を及ぼすサービス停止を起こす可能性のあるもの
    ローカルからシステムの特権を奪われる可能性のあるもの
    Medium High および Low に当てはまらないもの
    サービス妨害や情報漏洩を起こすもの
    影響が不明なもの
    Low 軽微な情報漏洩を起こすもの (少量のメモリの断片など)
    攻撃に特権が必要なもの
    悪用の難しいもの
  • CVE

    CVE 番号です。セキュリティホールの詳細情報に複数のセキュリティホールが含まれている場合は、複数の CVE 番号が表示されます。CVE 番号が登録されていない場合は表示されません。

  • 攻撃コード

    攻撃コードおよび実証コードの有無です。攻撃コードおよび実証コードが確認されている場合は「 既に攻撃コードもしくは実証コードが確認されています。」と表示されます。

  • CVSS

    CVSS 基本値と各評価項目です。複数の CVE 番号が存在する場合は、最も危険な CVE の基本値と評価を表示します。CVSS の詳細については「CVSS とは」を参照してください。

  • 影響製品

    セキュリティホールが存在する OS やアプリケーションです。

  • システムカテゴリ別のリスクの影響度 (SRI)

    システムカテゴリ別のリスクの影響度 (SRI) を表示しています。SRI の詳細な説明は「SRI とは」で詳しく解説しています。

  • 概要

    セキュリティホールの概要です。SIDfm では、一つのコンテンツ内に複数のセキュリティホールが記述されることがあります。例えば、アプリケーションの一回のバージョンアップにおいて、複数のセキュリティホールに対応された場合などにそのようなコンテンツを作成します。

  • 影響を受ける製品

    セキュリティホールの存在する OS やアプリケーション名を表示します。バージョンまで特定されている場合にはバージョンも表示されます。

  • 影響などの確認方法

    セキュリティホールが存在する OS やアプリケーションのバージョンなどの確認方法を表示します。

  • 対処方法

    セキュリティホールを修正するためのパッチ、修正パッケージ、または修正されたバージョンを表示します。また、回避方法の情報がある場合には「ベンダーの対処方法を適用しない場合の回避方法」にその内容が記載されます。

  • 関連情報

    セキュリティホールに関係するニュースと CVE・アドバイザリを表示します。

  • 更新履歴

    コンテンツの更新履歴を表示します。

  • すべて

    コンテンツの全情報を表示します。