第2章 Common Vulnerabilities and Exposures (CVE)

CVE は、公開されているソフトウェアパッケージで識別されているセキュリティーの脆弱性です。CVE は、Mitre Corporation が運用する連邦政府の調査および開発センターの「National CyberSecurity FFRDC (NCF)」で識別およびリスト表示され、National Cyber Security Division of the United States Department of Homeland Security から資金を得ています。CVE の全リストは、https://cve.mitre.org にあります。

一般的に知られている不正使用の CVE や CVE に関連のあるセキュリティールールを強調表示することで、Vulnerability サービスは脅威インテリジェンスを強化し、RHEL 環境に最も影響を与える可能性のあるリスクをもたらす CVE を判断できるようにします。

重要

Vulnerability サービスには、https://cve.mitre.org のエントリーリストに含まれる CVE がすべて含まれるわけではありません。Red Hat CVE (Red Hat が 発行する セキュリティーアドバイザリー (RHSA)) のみが Vulnerability サービスに含まれています。

Vulnerability サービスは、RHEL システムに影響を与える CVE を特定し、重大度を示し、解決が最も重要な露出を効率的にトリアージできるようにします。ダッシュバーは、次の種類の CVE について警告します。

  • 既知の不正使用
  • セキュリティールール
  • 重大度: Critical
  • 重大度: Important

screenshot of the Vulnerability CVE dashbar

2.1. Red Hat Security Advisory (RHSA)

Red Hat セキュリティーアドバイザリー (RHSA) のエラータでは、修正または軽減策が利用可能な Red Hat 製品のセキュリティー脆弱性が文書にまとめられています。Red Hat Insights for Red Hat Enterprise Linux の Vulnerability サービスは、CVE のリスクに晒されている各システムに紐付けられているアドバイザリー ID を表示します。

CVE を選び、セキュリティールールカードの Filter by affected systems のリンクを選択してこの情報を表示します。システムにアドバイザリーが存在する場合には、RHSA ID が Exposed systems リストの Advisory コラムで、システムの横にリンクとして表示されます。アドバイザリーがない場合は、Advisory 列が表示されなかったり、「Not available」と表示されます。

システムにアドバイザリーが存在する場合は、影響を受けるシステムのリストなど、RHSA に関する詳細情報を表示できます。Patch サービスでは、システムを選択し、Ansible Playbook を作成して修復を適用できます。 img vuln assess advisories patch