Red Hat と CVE の互換性

Q: CVE プロジェクトとは何ですか?

MITRE Corporation が管理する Common Vulnerabilities and Exposures (CVE) プロジェクトとは、脆弱性とセキュリティーエクスポージャーの標準化された名前のリストのことです。詳細は、http://cve.mitre.org を参照してください。

Q: Red Hat は CVE プロジェクトをどのように利用していますか?

セキュリティー問題に関する正確かつ完全な情報をユーザーに提供することは、非常に重要であると考えています。サービスや製品のセキュリティー問題について議論する際に CVE 名を含めることで、ユーザーは脆弱性を相互参照できるようになり、セキュリティーイベントの調査や分類に費やす時間を短縮することができます。

Red Hat は CVE Editorial Board に代表者を置き、2002 年 4 月に CVE 互換宣言 をしました。

Q: CVE 名を使用する Red Hat サービスはどれですか?

2001 年 11 月以降にリリースされたすべての Red Hat Security Advisories (RHSA) に CVE 名を追加しました。これらは、弊社の Web サイト、セキュリティーメーリングリストに送信される電子メール通知、および Red Hat Network で確認することができます。

Red Hat は、2000 年 1 月以降のすべてのセキュリティーアドバイザリーを監査し、必要に応じて CVE エントリーを割り当てたり、作成したりしました。

特定の CVE 名に関する情報を調べる場合は、各 CVE が掲載されたページ を使用してください。

Q: CVE Web サイトで、参照した名前が見つからないと表示されるのはなぜですか?

多くの場合、弊社のアドバイザリーが対処するセキュリティー問題は、アドバイザリーのリリース前には公開されていないため、CVE 名がまだ割り当てられていません。このような場合、MITRE と協力して必要な CVE 名を事前に予約しますが、問題が公開されてから、CVE 名が CVE Web サイト に表示されるまでに少し時間がかかる場合があります。

Q: CVE エントリーと候補 (candidate) の違いは何ですか?

CVE 候補とは、CVE への登録が検討されている脆弱性またはエクスポージャーのことです。2005 年 10 月 19 日より前は、公式の CVE エントリーと区別するために、候補には CAN- の接頭辞が付いた名前が割り当てられていました。CAN- 接頭辞は、2005 年 10 月 19 日以降は使用されなくなりましたが、これ以前に Red Hat が公開したものやアドバイザリーで参照されている可能性があります。

CVE 名は、その名前が割り当てられた年と、一意の番号 N (その年の N 番目に割り当てられたことを示す番号) をエンコードしたものです。たとえば、CVE-2002-0067 は、2002 年に 67 番目に割り当てられた一意の番号になります。

Q: CVE 名は他でも使用されていますか?

多くの組織が、セキュリティーサービスの一環として CVE 名を使用しています。詳細については、CVE Web サイトを参照してください。2002 年 1 月、National Institute of Standards and Technology (NIST: 米国立標準技術研究所) は、政府機関がセキュリティーインフラストラクチャー全体で CVE 標準ソリューションを採用することを推奨する草案を発表しました。

弊社の CVE プロジェクトに対する取り組みが、他のオープンソースベンダーにとって、この取り組みに積極的に参加するきっかけになればと願っています。

Q: 詳細情報はどこで確認できますか?

CVE プロジェクト、命名、およびさまざまなプロセスについては、CVE Web サイト (http://cve.mitre.org) を参照してください。