Red Hat と OVAL の互換性

Q: OVAL プロジェクトとは何ですか?

Center for Internet Security (CIS) が運営する Open Vulnerability and Assessment Language (OVAL) プロジェクトは、オープンで公開されているセキュリティーコンテンツを促進する国際的な情報セキュリティーの取り組みであり、セキュリティーツールやサービス全般にわたるこの情報の伝達を標準化することを目指しています。詳細については、https://oval.cisecurity.org/ を参照してください。

Q: Red Hat は OVAL プロジェクトをどのように利用していますか?

Red Hat Product Security は、Red Hat のお客様に影響を与えるすべてのセキュリティー問題を追跡および調査し、Red Hat カスタマーポータルを通じてタイムリーで簡潔なパッチおよびセキュリティーアドバイザリーを提供することにより、お客様のリスク評価と管理を支援しています。

Red Hat は OVAL パッチ定義を作成してサポートし、セキュリティーアドバイザリーの機械読み取り可能なバージョンを提供します。これにより、OVAL 互換ツールは、Red Hat がシステムに適用可能なセキュリティー更新をリリースしている脆弱性の存在をテストすることができます。

Red Hat は 2002 年に OVAL の創設メンバーとなり、2006 年 5 月に OVAL 互換宣言を行いました。

Q: OVAL と互換性のある Red Hat 製品はどれですか?

Red Hat は、Red Hat Enterprise Linux 4、5、6、7、8、およびその他の一部の製品でサポートされているベース¹リポジトリー/チャンネルにセキュリティー更新用の OVAL パッチ定義を提供しています。 最初の OVAL 互換バージョンは Red Hat Enterprise Linux 3 でした。

Q: OVAL パッチ定義を入手するにはどうすればよいですか?

OVAL パッチ定義は、特定の製品とバージョンの「ストリーム」として入手でき、新しいセキュリティーアドバイザリーが Red Hat カスタマーポータルで公開されてから 1 時間以内に更新されます。

https://www.redhat.com/security/data/oval/v2

Q: Red Hat はいつ OVAL 定義を更新しますか?

Red Hat は、OVAL 互換製品 (上記参照) の Red Hat Security Advisory (RHSA) がリリースされるたびに、OVAL 定義を更新します。 Red Hat が提供する OVAL コンテンツは、Red Hat がリリースしたものの、特定のシステムに適用されていないセキュリティー更新を検出するために使用することができます。 Red Hat OVAL コンテンツは、Red Hat がセキュリティー更新をリリースしていないシステムの脆弱性を検出するために使用することはできません。

Q: Red Hat はこれらの定義を解析するツールを提供していますか?

Red Hat は、Red Hat Enterprise Linux の一部として OpenSCAP 脆弱性スキャナーを同梱しています。OVAL のパッチ定義を使用してシステムを評価する場合、以下のコマンドを使用することができます。

oscap oval eval --results results.xml --report report.html com.redhat.rhsa-all.xml

Q: OVAL「ストリーム」(または「v2」OVAL ファイル) とは何ですか? なぜこれが必要なのですか?

RPM のバージョンは、同時に有効にするように設計されていない異なるリポジトリー間では比較できないため (たとえば、Red Hat Enterprise Linux 7.2 でリリースされた RPM はバージョンが高くなりますが、Red Hat Enterprise Linux 7.1 EUS 用に後からリリースされた別の RPM よりもパッチレベルが低くなる場合があります)、OVAL 定義は製品とバージョンによって「ストリーム」に分割されています。システムを完全に評価するには、そのシステムにインストールされているすべての製品のストリームに対して評価する必要があります。

プロダクトバージョンの「ストリーム」と、以前に公開された RHEL 専用の個々の OVAL ファイル (または「-all」ストリーム) との違いは、形式ではなく、単なる編成の違いに過ぎません。特定のストリームの OVAL 定義には、そのプロダクトバージョンに関連するテストのみが含まれるため、RHEL 以外の製品の OVAL 定義をサポートできるのは、プロダクトバージョンストリームへの OVAL 定義の編成になります。

Q: Red Hat が脆弱性定義ではなく OVAL パッチ定義を使用しているのはなぜですか?

各 OVAL パッチ定義は、Red Hat セキュリティーアドバイザリー (RHSA) に 1 対 1 でマッピングしています。RHSA には複数の脆弱性に対する修正が含まれている可能性があるため、各脆弱性は CVE 名ごとに個別に表示され、公開バグデータベースのエントリーへのリンクが付いています。

Q: なぜ RPM 署名をチェックするテストが含まれているのですか?

弊社の OVAL パッチ定義には、RPM が適切な Red Hat パッケージ署名キーによって署名されているかどうかを確認するテストが含まれています。このテストは、パッケージを自分で再構築したり、アップストリームのパッケージを使用したりする可能性のあるユーザーによって引き起こされるご検出を回避するために必要です。署名チェックは、後方互換性を維持するために必要であり、システムの整合性をチェックしたり、その他の欠陥を検出したりするものではありません。

Q: どの程度詳細にテストされるのですか?

Red Hat OVAL パッチ定義は、システムにインストールされている RPM パッケージの脆弱なバージョンをチェックするように設計されています。この定義は拡張でき、パッケージが脆弱な設定で使用されているかどうかを見つけるなど、さらに確認できるようにすることができます。この定義は、Red Hat が提供するソフトウェアおよび更新に対応するように設計されています。サードパーティーソフトウェアのパッチ状態を検出するには、追加の定義が必要です。

Q: 詳細情報はどこで入手できますか?

OVAL Community Guidelines には、スキーマの全容を含む追加情報が記載されています。Red Hat による OVAL の実装に関する修正の提出、質問、または詳細情報の入手を希望する場合は、Red Hat Product Security チーム (secalert@redhat.com) までお問い合わせください。