プレビュー: 共通脆弱性と暴露 (CVE) の確認
9.2.12 から使用可能。 ソフトウェア・カタログには、共通脆弱性と暴露 (CVE) に関する情報が含まれています。ソフトウェア・カタログを参照して、潜在的な脅威があるかどうかを確認します。BigFix Inventory の CVE の確認は、プレビュー機能です。
このタスクについて
共通脆弱性と暴露 (CVE) は、識別番号が割り当てられた既知のセキュリティー脅威のリストです。 BigFix Inventory は https://nvd.nist.gov/ の National Vulnerability Database によって提供される CVE を使用して、ご使用の環境における潜在的な脅威を識別できるようにします。
CVE の順序
潜在的な脅威は、「脆弱性のリスク (プレビュー)」列に表示されます。一致した場合、CVE は基本スコアによって降順にソートされ、次に CVE ID でソートされます。重大度によって順序付けされることはありません。基本スコアと重大度は、共通脆弱性評価システム (CVSS) に従って割り当てられます。CVSS v3.0 が使用可能な場合は CVSS v2.0 よりも優先されます。
CVE の詳細
CVE ID 番号の横の「詳細の表示」アイコン をクリックすると、該当する CVE の名前、重大度、CVSS などの詳細が表示されます。特定のコンポーネントと一致する CVE がさらに多い場合は、詳細リストでそれらを表示することができます追加処理のために、レポート・ビューを CSV または PDF にエクスポートすることができます。エクスポートされたレポートには、関連する CVE の名前の完全なリストが含まれています。
制限
- CVE の概要は、脆弱なバージョンを必ずしも正しく反映していません。その結果、パッチをアップグレードし、BigFix Inventory の詳細なコンポーネント・バージョンを参照しているにもかかわらず、CVE がリストされることがあります。National Vulnerability Database の最新の CVE の概要を参照してください。
例: CVE-2015-1728、Windows Media Player、およびすべての 12.x バージョンが影響を受けます。12.x バージョンで使用可能な修正はありません。その場合、BigFix Inventory の CVE に 12.x がリストされます。
- 最良の結果を得るには、NVD フィードを更新してください。CVE の更新については、『共通脆弱性と暴露 (CVE) についての情報の更新』を参照してください。
- BigFix Inventory は、選択したソフトウェア・コンポーネントのコンポーネント詳細バージョン (パッチ/フィックス・パック・レベル) のレポートを提供します。このような場合、NVD フィードは問題に関連のあるバージョンに関する正しい情報を提供しますが、CVE はバージョンを一般的なディスカバリーとして BigFix Inventory に引き続きリストします。
- National Vulnerability Database にリストされている CVE は、特定のオペレーティング・システムにインストールされているソフトウェアにのみ影響を与える可能性があります。BigFix Inventory は、CVE をコンポーネントと突き合わせたときに、この事実を考慮に入れません。
- コンポーネントまたはそのパブリッシャーの名前が BigFix Inventory と National Vulnerability Database との間で異なっている場合は、CVE が BigFix Inventory で一致していない可能性があります。
- コンポーネントの詳細バージョンがそのバージョンと大幅に異なる場合は、CVE が BigFix Inventory で一致していない可能性があります。
- 以下の別名が追加されて、CPE 生成と脆弱性の一致が改善されました。
- RedHat は Red Hat publisher の別名です。
- Apache は Apache Software Foundation publisher の別名です。
手順
-
「レポート・ビューの管理」アイコン をクリックし、「ビューの設定」をクリックして、レポートに表示する「脆弱性リスク (プレビュー)」列を選択します。
に移動します。「脆弱性リスク (プレビュー)」列を表示するには、このレポートの CVE は、詳細バージョンを介して特定のソフトウェア・コンポーネントと突き合わせられます。 -
に移動します。共通脆弱性と暴露は、「脆弱性のリスク (プレビュー)」列に表示されます。
レポートには、特定のバージョンのコンポーネントがリストされます。ただし、一致する CVE は、バージョンとそのパッチに関連しています。
- 脆弱性が一致したコンポーネントを表示するには、以下のフィルターを指定します。
Vulnerability Risk (Preview)
、is not empty
。 - 特定の脆弱性が一致したコンポーネントを表示するには、以下のフィルターを指定します。
Vulnerability: CVE Name
、contains
、および、CVE の名前を指定します。