Translated message

A translation of this page exists in English.

Red Hat Security Data の変更ログ

更新 -

このページでは、Red Hat Security Data の変更ログを提供します。これは主に、Red Hat Security Data ページ に存在し、そこからリンクされているファイル、および CVE ページ に表示されるコンテンツを対象としています。

2026 年 2 月 27 日 (2 月 27 日に変更、3 月 12 日発表)

CSAF および VEX

  • VEX および CSAF 出力において、コンテナーの PURL が欠落していた問題を修正しました。コンテナーコンポーネントで、一部の CSAF VEX および CSAF アドバイザリーファイルで以前は欠落していた product_identification_helper.purl フィールドが、正しく含まれるようになりました。
  • 空の scores リストによって発生する CSAF スキーマ検証の失敗を修正しました。ファイル内の特定の製品のスコアが存在しない場合は、scores キーが完全に削除され、CSAF スキーマ要件が満たされるようになりました。

CVE ページ、CSAF、VEX

  • 類似した名前を持つパッケージ (例: webkit2gtk3gtk3) が誤って関連付けられていた不正確なパッケージマッチングの問題を修正しました。この影響は CVE-2019-8506 および RHSA-2019:3553 のみに限定されます。

2025 年 11 月 27 日

カスタマーポータル

CSAF

  • CSAF アドバイザリーファイルのリンク切れ (404) の原因となる 2 つの問題を修正しました。

2025 年 11 月 6 日

VEX

  • RHOSE の tarball アドバイザリーに対応しました。

SBOM

2025 年 10 月 3 日

CVE、CSAF、VEX

  • product_status が known_not_affected の製品を含む VEX ファイルの生成に関する問題を修正しました。
    vulnerability.flags セクションには、特定の機械可読な情報が正しく含まれるようになりました。
    正当化ラベル (例: component_not_present、vulnerable_code_not_in_execute_path)。
  • CSAF VEX ファイル、CSAF アドバイザリーファイル、CVE ページ内のコンポーネントの命名を改善します。

2025 年 9 月 24 日

CVE と VEX

  • rpmmod 修飾子とコンポーネント名の定義における解析の誤りを修正しました。
  • VEX ファイル内の未修正コンポーネントの PURL バージョンを削除しました。
  • VEX ファイルにおいて、モジュール化されていないソース RPM のアーキテクチャー情報が欠落していた問題を修正しました。
  • 影響を受けない CVE ページに別の FAQ を表示しました。

2025 年 9 月 9 日

CSAF および VEX

  • VEX ファイル内の誤ったモジュール関係を修正し、製品、モジュール、RPM が正しくリンクされるようにしました。
  • CSAF アドバイザリーのモジュールコンポーネントのパッケージ URL (PURL) 識別子を修正しました。
  • 同じモジュール内のバイナリー RPM が同一の PURL を持つ可能性がある問題を解決しました。
  • 複数のモジュールに属する RPM が、それらすべての中で正しく表現されていることを確認しました。
  • 修正された CVE の VEX ファイルにモジュール名/ストリーム/バージョン/コンテキスト (NSVC) を含めました。
  • 影響を受ける RPM の PURL にアーキテクチャー情報を追加し、ソースパッケージとバイナリーパッケージをより区別しやすくしました。

2025 年 7 月 23 日

VEX

  • 'Not Affected' (影響なし) としてクローズされたトラッカーの根拠が、今後 CVE ページと VEX ファイルに追加されます。データをバックフィルする予定はありません。
  • パッチが適用されていない脆弱性に関する CSAF VEX ファイルにバイナリーパッケージ名を追加しましたが、一部のハードコードされたコンポーネントのマッピングはまだ不完全な状態です。

2025 年 5 月 21 日

サードパーティーの CVE と、現在サポートされている Red Hat 製品に影響を与えない CVE

  • サードパーティーの CVE、および現在サポートされている Red Hat 製品に影響しない CVE については、
    影響度、CVSS、CWE、cve.org 以外の外部リファレンスといった特定のデータ属性の公開を
    停止いたします。この変更は、VEX ファイルと CVE ページに反映されます。私たちは、
    現在サポート対象となっている Red Hat 製品に影響する CVE については、
    引き続きこれらのデータ属性を公開していく一方で、今回の変更により、セキュリティーデータの関連性を高め、より明確な情報を提供することを目指しています。

VEX

  • 'Not Affected' (影響なし) と評価された CVE データ (上記セクションを参照) については、
    新規作成または更新される VEX ファイルにおいて、以下の項目は生成されなくなります。
    • JSONPath:
    • $.document.aggregate_severity
    • $.vulnerabilities[*].notes[?(@.category == 'summary')]
    • cve.org 向けではない、$.vulnerabilities[*].references[?(@.category == 'external')] の項目
    • $.vulnerabilities[*].threats
    • $.vulnerabilities[*].cwe
    • $.vulnerabilities[*].ids
    • jq:
    • .document.aggregate_severity
    • .vulnerabilities[]?.notes[]? | select(.category == "summary")
    • .vulnerabilities[]?.references[]? | select(.category == "external" and (.url | contains("www.cve.org") | not))
    • .vulnerabilities[]?.threats
    • .vulnerabilities[]?.cwe
    • .vulnerabilities[]?.ids
  • データ量が極めて膨大なため、これら 'Not Affected' (影響なし) の CVE データすべてを
    完全に更新および公開し終えるまでには、数週間かかる見込みです。

2025 年 5 月 6 日

VEX

  • 将来的には、VEX ファイルにおいて、現在の vulnerable_code_not_present 以外の脆弱性ラベルが生成される可能性があります。
    これには、CSAF スキーマで定義されているラベルのオプション (component_not_present
    inline_mitigations_already_existvulnerable_code_cannot_be_controlled_by_adversary
    vulnerable_code_not_in_execute_path) が含まれます。

2025 年 3 月 4 日

CVE と VEX

  • 一部の CSAF アドバイザリーについて、欠落している CSAF ファイル、無効なハッシュファイル、および署名ファイルを修正しました。

OVAL

  • OVAL ファイル openshift-4-including-unpatched.oval.xmlaffected_cpe_list 内の CPE が、最新の影響を受けるバージョンに正しく固定されず、OVAL ファイルの更新ごとに影響を受ける各バージョンの間で非決定論的に入れ替わってしまう問題を修正しました。

2025 年 2 月 12 日

CSAF および VEX

  • 特定のアドバイザリーおよびそこから生成されたすべてのメタデータにおける、CVE の修正されたコンポーネントへの誤ったマッピングを修正しました。

2025 年 2 月 3 日

サードパーティー CVE

  • Red Hat Product Security チームが、すべての CVE の CVE ページと VEX ファイルの公開を開始しました。
  • これまでは、何らかの形で当社製品に関連する CVE のデータのみを公開していました。
  • 新たに公開を開始したデータには、CVE の説明、参照リスト、Red Hat 製品は影響を受けない旨を説明する記述のみが含まれます。

  • この変更は、Red Hat 製品への影響の有無についての混乱を軽減するために行われました。

  • たとえば、Fedora などのアップストリームプロジェクトにのみ影響する CVE-2024-55918 などの CVE に関するデータの公開を開始しました。

  • いずれの Red Hat 製品にも、影響を受けるバージョンの perl は同梱されていないため、この CVE に関するデータはこれまで公開していませんでした。

  • また、Apple iOS などのサードパーティーベンダーの製品にのみ影響する CVE-2024-44204 などの CVE に関するデータの公開も開始しました。

  • このデータは、CVE プログラムが公開しているすべての CVE レコードの公式リストを情報源としています。

  • データ量が非常に多いため、"Not Affected' (影響なし)" の CVE データをすべて完全に公開するには数週間かかると予想されます。
  • ほとんどの場合、これらのデータは一度公開された後は将来にわたって変更されないか、変更されるとしても極めて稀であると考えています。

CSAF

  • さまざまなデータ品質の問題により、特定の CSAF ファイルを生成できない問題を修正しました。

  • アドバイザリーが新しい CSAF ファイルを公開すると、新しい "releases.csv" ファイルに (変更されることのない) アドバイザリーの元のリリース日が報告されます。

  • この "releases.csv" ファイルのエントリーは、"changes.csv" ファイルおよび "deletions.csv" ファイルと同じ形式に従います。
  • この "releases.csv" ファイル内のエントリーは、対応する CSAF ファイルが削除されるたびに削除されます。
  • どの CSAF ファイルが削除されたかを確認するには、"deletions.csv" ファイルを引き続き確認してください。

CVE と VEX

  • 非常に古い CVE に対して少数の VEX ファイルを生成できない問題を修正しました。

  • 影響を受けており、まだ修正されていない RPMMOD (モジュラー) コンポーネントの誤った PackageURL 識別子を修正しました。

  • 多数の CVE ページや VEX ファイルを一括更新する際は、CVE の影響度、重大インシデントへの指定状況、エクスプロイトの可用性に基づいて更新の優先順位が決定されるようになりました。

  • この変更により、データがより迅速に利用できるようになり、急速に変化する新しく発見された CVE の精度が向上することが期待されます。
  • この変更により、CVE ページと VEX ファイルが確実に同時に更新されるようになります。これにより、一方の更新がもう一方より数時間遅れるといった事態を防ぐことができます。

OVAL

  • RHEL 8 以降でカーネルパッケージ (kernel や kernel-rt など) が修正された際に、不正確な OVAL データを修正しました。
  • RHSA-2024:10289 など、ID が 4 桁を超えるアドバイザリーの欠落した OVAL データを修正しました。

2025 年 1 月 10 日

CSAF および VEX

  • 12 月 4 日のバグ修正 (後述) を反映するため、すべての VEX ファイルを更新します。

2025 年 1 月 2 日

メタデータ

  • アーキテクチャーに依存しない RHEL 8、RHEL 9、UBI 8、および UBI 9 リポジトリーのエントリーを repository-to-cpe.json マッピングファイルに一時的に追加します。
  • これらのレガシーエントリーは問題を解決するために一時的に提供されており、将来削除される予定です。

2024 年 12 月 20 日

メタデータ

  • UBI 8 および 9 リポジトリーのエントリーを、repository-to-cpe.json マッピングファイルに追加します。
  • これらのエントリーは、問題解決に向けた「ベストエフォート」ベースで提供されており、一部のエントリーについては依然として欠落している可能性があります。
  • このデータに対するさらなる修正と機能拡張については、休暇明けに計画されています。

2024 年 12 月 4 日

CSAF および VEX

  • リストされているすべての Red Hat 製品が影響を受けず、スコアが適用されない場合でも、解析を簡素化するために、常に VEX ファイルで CVSS スコアを報告します。
  • 少数の未修正のコンテナーイメージに対して誤った PackageURL が報告される問題を修正しました。
  • CSAF または VEX ファイルがすでに削除されているにもかかわらず、changes.csv ファイル内に古いエントリーが残ってしまう不具合を修正しました。
  • 代わりに、これらのエントリーが deletions.csv ファイルに表示されるため、ユーザーはどのファイルが削除されたかを追跡できます。

CVE

  • 内部マッピングが部分的にしか完了していなかった場合に、一部の最近のミドルウェアアドバイザリーが CVE ページおよび他のセキュリティーデータに表示されないという数件のバグを修正しました。

OVAL

  • 複数のカーネルパッケージ (kernel や kernel-rt など) が 1 つのアドバイザリーで修正されたときに、欠落していた OVAL データを修正しました。

2024 年 11 月 13 日

CSAF および VEX

  • アドバイザリーが公開された後、より迅速に CSAF ファイルを生成 (およびアドバイザリーの詳細情報で VEX ファイルを更新) します。
  • アドバイザリーの詳細も CVE ページにより早く表示されるようになります。
  • 内部的には、アドバイザリーの公開直後に送信される「新規公開アドバイザリー」通知をリッスンするようになりました。
  • 「最近公開されたアドバイザリー」を確認するために内部 API を定期的にポーリングする必要がなくなり、それによって生じていた遅延が解消されました。

2024 年 10 月 31 日

CSAF および VEX

  • https://security.access.redhat.com/data/csaf/v2/advisories/ で公開されているすべての CSAF ファイルについて、document.category プロファイルを csaf_vex から csaf_security_advisory に切り替えました。
  • https://security.access.redhat.com/data/csaf/v2/vex/ で公開されている VEX ファイルは変更されず、引き続き document.category プロファイルとして csaf_vex を報告します。

  • この変更により、各ファイルセットの目的と含まれるデータがより明確になります。

  • Red Hat Security Bulletin (RHSB) の URL が存在する場合は、各脆弱性のリファレンスリストにその URL を報告しました。

  • 一部のアドバイザリーが CSAF ファイルを生成しない原因となっていた、コードのバグとソースシステムの不良データを修正しました。

2024 年 10 月 23 日

CSAF および VEX

  • CVE を修正するアドバイザリーが利用可能になった際に、CSAF および VEX ファイルの「修復」セクションでそのリリース日を報告します。

CVE

  • ごく少数の CVE ページで誤った製品名を修正しました。

メタデータ

  • provider-metadata.json および security.txt ファイルで、「正規 URL」を報告する場合は、セキュリティーデータの新しい場所である https://security.access.redhat.com/data を使用します。

2024 年 10 月 2 日

CSAF および VEX

  • CSAF および VEX ドキュメントで「正規 URL」を報告する場合は、セキュリティーデータの新しい場所である https://security.access.redhat.com/data を使用します。

メタデータ

  • provider-metadata.json ファイル、security.txt ファイル、およびその他すべてのメタデータファイルにおいて、セキュリティーデータの新しい格納場所を報告します。

2024 年 9 月 30 日

すべてのセキュリティーデータ

  • Red Hat のすべてのセキュリティーデータは、以下の新しい場所で利用できるようになりました。
  • CSAF と VEX の両方のドキュメントについては、https://security.access.redhat.com/data/csaf/ を参照してください。

  • OVAL データについては、https://security.access.redhat.com/data/oval/ を参照してください。

  • 以前は、これらのファイルの場所が 2 つありました。たとえば、以下のとおりです。

  • CSAF および VEX ドキュメント:
  • https://access.redhat.com/security/data/csaf/
  • https://www.redhat.com/security/data/csaf/
  • OVAL データ:
  • https://access.redhat.com/security/data/oval/

  • https://www.redhat.com/security/data/oval/

  • クライアントは、可能な場合は新しい場所の使用を開始する必要があります。

  • 9 月 3 日に、www.redhat.com の古い場所が新しい場所にリダイレクトされ始めました。
  • 9 月 30 日に、access.redhat.com の古い場所から新しい場所へのリダイレクトが開始されました。

2024 年 9 月 24 日

カスタマーポータル

メタデータ

2024 年 9 月 12 日

CVE

  • すべての CVE ページに、"Fix deferred (修正延期)" の意味を説明する新しい FAQ エントリーを追加しました。
  • すべての CVE ページの既存の FAQ エントリーを更新して、"Will not fix (修正予定なし)" の意味を明確にします。

2024 年 9 月 11 日

CSAF および VEX

  • 少数のアドバイザリーに対して CSAF ファイルが生成されない原因となっていた、ソースシステム内のいくつかのデータ品質の問題を修正しました。
  • (各アドバイザリーに含まれる CVE を対象とした) VEXファイルにおいても、そのアドバイザリーに関するデータが欠落していました。これらのバグは修正されました。

OVAL

  • rhel-7-els の OVAL ストリームファイルが見つからないバグを修正しました。

2024 年 8 月 27 日

CSAF および VEX

  • データが変更されていないのにファイルが更新される可能性があるバグを修正しました。
  • データが 1 回だけ変更された場合でも、同じファイルが何度も更新される可能性があるバグを修正しました。
  • VEX ベータ版の終了時に更新が停止した /csaf/beta/vex/ パスの下のファイルを削除しました。
  • GA バージョンである /csaf/v2/vex/ パスから同じファイルを使用してください。

SBOM

  • 更新できない古い SBOM ファイルを削除します。

2024 年 8 月 19 日

CSAF および VEX

  • "Fix deferred (修正延期)" と記載されている CVE ページエントリーが、VEX ファイルで "none_available" (現時点で提供なし) と報告されるようになりました。これは、将来的に修正が行われる可能性があることを示すための措置です。
  • "Will not fix (修正予定なし)" と記載されている CVE ページのエントリーは変更されておらず、VEX ファイルで引き続き "no_fix_planned (修正計画なし)" が報告されます。
  • 詳細は、各 CVE ページにある "What can I do if my product is listed as "Will not fix"?" というタイトルの FAQ エントリーを参照してください。

2024 年 8 月 13 日

CSAF および VEX

  • CSAF ファイルの "vulnerabilities" キーにのみ古い CVE 関連情報が表示される可能性があるバグを修正しました。
  • CSAF ファイルと VEX ファイルの両方で、"product_tree" キーに古い製品関連情報が表示される可能性があるバグを修正しました。
  • 上記の古いデータが削除された後、公開するのに十分なデータがなくなった CSAF ファイルと VEX ファイルを削除します。

CVE

  • CVE が CISA の "Known Exploited Vulnerabilities (悪用が確認済みの脆弱性)" カタログに掲載されている場合、該当する CVE ページに "Known Exploit (悪用確認済み)" アイコンを表示するようにしました。

2024 年 7 月 29 日

CSAF および VEX

  • CSAF および VEX ファイルに古いエクスプロイト/脅威情報が表示される可能性があるバグを修正しました。

  • モジュラー RPM コンポーネントに関する新しいデータを CSAF ファイルおよび VEX ファイルに追加しました。

    • モジュラー RPM ID は、name:stream:version:context のような形式になります。
    • モジュールは、それを同梱する各製品にリンクされています。
    • たとえば、モジュールは関連性のセクションで "module_nsvc as a component of product (module_nsvc を製品のコンポーネントとして)" と報告します。

  • モジュールの一部として含まれているソースおよびバイナリー RPM の既存のデータを更新します。

    • 一部のモジュール内に同梱される RPM は、モジュールの製品 ID を自身の製品 ID の一部として報告するようになりました。
    • たとえば、product:rpm_nevra ではなく、product:name:stream:version:context:rpm_nevra などです。
    • これらの RPM は、それらを同梱するモジュールに関連付けられるようになりました。
    • たとえば、これらの RPM は、関連性のセクションで "rpm_nevra as a component of module_nsvc (module_nsvc のコンポーネントとしての rpm_nevra)" と報告するようになりました。
    • RPM は、親モジュールを同梱する製品とは直接関連しなくなりました。
    • たとえば、これらの RPM は、関連性のセクションで "rpm_nevra as a component of product (製品のコンポーネントとしての rpm_nevra)" と報告しなくなりました。
    • RPM と製品の関連性に関する同様の情報は、引き続き間接的な形で参照可能です。
    • RPM とモジュールの関連性とモジュールと製品の関連性を組み合わせて、これらの RPM を出荷する製品を見つけます。

  • どのモジュールにも属さない RPM は変更されておらず、引き続き同じデータを報告します。

2024 年 7 月 10 日

VEX

2024 年 6 月 17 日

カスタマーポータル

  • 公開用 OpenPGP キーページ で、"beta key 2" PGP キーを更新しました。
    • このキーでは、SHA-1 署名と GPG バージョン 1.2.6 の代わりに、SHA-256 署名と GPG バージョン 2.0.22 が使用されるようになりました。
    • 署名のみが変更され、キー自体はローテーションされておらず、悪用されていません。
    • このキーの古いコピーをすでにお持ちの場合は、引き続きそれを使用して署名を検証できます。
    • 新しいコピーは、同じ公開鍵の更新された、よりセキュアなバージョンです。

2024 年 6 月 11 日

CSAF および VEX

  • いくつかの非常に古いミドルウェアアドバイザリーの欠落している CSAF ファイルを修正しました。

  • changes.csv ファイルと同じ構造を使用し、削除された CSAF/VEX ファイルを個別の deletions.csv ファイルで追跡します。

    • 下記のように、ファイルはソースデータが変更されるか無効になった場合にのみ削除されます。
    • CSAF/VEX ファイルは古くなって更新できなくなったため、削除しました。
    • ユーザーは、新しい deletions.csv の挙動を利用して、削除されたファイルを確認する機能を実装することも可能です。
    • または、ユーザーは、ロードしたすべてのファイルと、現在公開されているすべてのファイルセットを引き続き比較することもできます。
    • いずれにしても、当社がファイルを削除/非公開にした後は、ユーザーはシステムからそれらのファイルを削除する必要があります。

  • VEX ファイル内の影響を受ける (ただしまだ修正されていない) RPM、RPM モジュール、およびコンテナーイメージコンポーネントの PackageURL を報告します。

    • これらの purl は、"product_identification_helper" キーの下に表示されます。
    • 修正バージョンがまだ特定されていないため、これらの purls には影響を受けるコンポーネントの名前のみが含まれています。
    • コンポーネントが修正されると、バージョン番号を含むより正確な purl が利用可能になります。

  • 上記のバグ修正後、すべての CSAF および VEX ファイルを更新します。

2024 年 5 月 29 日

CSAF および VEX

  • 把握している場合は、Maven コンポーネントの purl 識別子の末尾に "type" および "classifier" 修飾子を追加しました。
  • 非常に古いミドルウェア CVE/アドバイザリーの「関連性」セクションに誤った製品 ID が表示されることがある問題を修正しました。
  • 存在する場合は、CSAF および VEX ファイルに Red Hat CoreOS のデータを含める機能に対応しました。

CVE

  • 軽減策が利用できない場合に一部の CVE ページの「軽減策」セクションに"null" が表示されるというデータ品質の問題を修正しました。

2024 年 4 月 30 日

CSAF および VEX

  • 一貫性のある解析を行うために、product_name ブランチは常に product_family ブランチにネストされます。
  • 重複していた product_family、product_name、および architecture の各ブランチを修正しました。
  • 上記のバグ修正後、すべての CSAF および VEX ファイルを更新します。

メタデータ

  • クライアントがキャッシュできるように、security.txt ファイルを 1 日 1 回ではなく、リリースまたは変更ごとに 1 回だけ再署名します。

2024 年 4 月 18 日

CSAF および VEX

  • ソースデータが変更され、ファイルが更新できなくなった場合に、古い VEX ファイルを削除するロジックを追加しました。

  • ソースデータが変更され、ファイルが更新できなくなった場合に古い CSAF ファイルを削除するロジックを改善しました。

  • 同じ CSAF および VEX ファイルの重複コピーと、公開されるべきではなかった古いファイルをクリーンアップしました。

  • changes.csv ファイル内のタイムスタンプが CSAF または VEX ファイルが実際に更新された時間と一致しないバグを修正しました。

  • 上記のバグ修正後、すべての CSAF および VEX ファイルを更新します。

    • データの更新が完了するまでの間、changes.csv の内容は頻繁に変更され、多くのエントリーが欠落した状態となります。
    • データの更新が完了するまで、index.txt の内容は頻繁に変更される可能性があります。
    • 両方のファイル内の一部のエントリーが永久に消えてしまう可能性があります。これらの削除されたエントリーは、公開されるべきではなかった古いファイルのものです。

  • 毎週提供される CSAF および VEX のアーカイブファイルについて、ハッシュ値 (チェックサム) と署名を公開しました。

    • アーカイブ外のファイルは、アーカイブ内のファイルよりも頻繁に更新されます。
    • したがって、アーカイブ外のファイルは、アーカイブ内のファイルとは異なるハッシュ/署名を持つと予想されます。
    • アーカイブ内のファイルを個別に検証するのではなく、アーカイブ全体のハッシュと署名を一度に検証してください。

カスタマーポータル

  • 公開用 OpenPGP キーページ で、特定の PGP キー (証明書ではない) を更新しました。
    • キーでは、SHA-1 署名と古い GPG バージョンの代わりに、SHA-256 署名と GPG バージョン 2.0.22 が使用されるようになりました。
    • 署名のみが変更され、キー自体はローテーションされておらず、悪用されていません。
    • キーの古いコピーがすでにある場合は、引き続きそれを使用して署名を検証できます。
    • 新しいコピーは、同じ公開鍵の更新された、よりセキュアなバージョンです。

CVE

  • ソースデータが変更された際に、CVE ページ (およびセキュリティーデータファイル) を正しく更新しなかったその他のいくつかのバグを修正しました。

2024 年 3 月 21 日

カスタマーポータル

CVE

  • Red Hat の説明がない CVE が、MITRE の説明ではなく一般的なテキストを報告する問題を修正しました。

2024 年 3 月 19 日

CVE

  • 問題がセキュリティー上の脆弱性ではない場合に、CVE ページに "_none" の影響が表示されることがある問題を修正しました。

メタデータ

  • security.txt ファイルの有効期限を更新しました。

2024 年 3 月 4 日

CSAF

  • ソースデータが変更され、ファイルを更新できなくなった場合に、古い CSAF ファイルを削除するロジックを追加しました。

2024 年 1 月 22 日

CSAF

  • CSAF および VEX アーカイブファイルが空になるバグを修正しました。

CVE

  • RHEL 9 で構築された RPM モジュールの新しい NVR 形式を解析するときに、一部の CVE ページに誤った影響度データを作成するというバグを修正しました。
  • すべての CVE ページに「軽減策とは何ですか?」という新しい FAQ エントリーを追加しました。
  • 特定のツールやデータ形式ではなく、Red Hat Vulnerability Scanner Certification プログラムについて言及するように、古い FAQ エントリーを書き換えました。

2023 年 12 月 19 日

CSAF

2023 年 12 月 4 日

CSAF

  • CSAF アドバイザリーおよび CSAF VEX ファイルの完全なファイルセットを含む 2 つの新しいアーカイブファイルが利用可能になりました。

    どちらのファイルも tar を使用してアーカイブされ、zstd を使用して圧縮されています。これらのファイルは週に一度更新されます。ファイル名には、ファイルが作成された日付が含まれます。アーカイブファイルが作成された日付以降にファイルに対して行われた更新は、changes.csv ファイルのデータに基づいて個々のファイルから取得する必要があります。

RHSA RSS フィード

  • すべての RSS フィードエントリーで欠落していた <link> 値を修正しました。

2023 年 11 月 8 日

メタデータ

  • さまざまなメタデータファイルが廃止されたり、別の場所に移動されたりしました。ブログ記事 The future of Red Hat security data の "Changes to custom metrics data files" セクションで、変更のリストを確認してください。

2023 年 10 月 12 日

VEX

CSAF アドバイザリー

  • すべての CSAF アドバイザリーファイル内の脆弱性オブジェクトには、アクティブなエクスプロイトに関する情報、各コンポーネントの purl 識別子、脆弱性の軽減策に関する情報 (存在する場合)、および特定のアドバイザリーの変更を適用した後に必要な OS の再起動に関する情報が含まれるようになりました。

CVRF

RHSA のお知らせ

2023 年 7 月 10 日

OVAL

  • RHEL 9 上の OpenShift 4.13 の OVAL ファイルには、RHEL 7 および 8 でリリースされた OpenShift バージョンで修正された問題が誤って未修正としてリストされていました。
  • OVAL and DS v1 deprecation announcement に記載されているように、OVAL v1 コンテンツはアーカイブに移動されました。

2023 年 5 月 18 日

SBOM

メタデータ

2023 年 4 月 28 日

SBOM

2023 年 4 月 5 日

OVAL

  • OVAL v1 コンテンツは更新されなくなりました。詳細は、https://access.redhat.com/OVAL_v1_deprecation_announcement を参照してください。
  • repository-to-cpe.json ファイル内の EUS 専用リポジトリー (例: rhel-9-for-x86_64-highavailability-eus-rpms) には、EUS 以外の CPE (例: cpe:/a:redhat:enterprise_linux:9::highavailability) は含まれなくなりました。

CVE

  • 各 CVE ページの外部参照には、CVE リストと NIST NVD 内の同じ CVE へのリンクが含まれるようになりました。

2023 年 3 月 7 日

CSAF/VEX

  • 年ごとのフォルダーでは、アドバイザリーの ID に含まれる年ではなく、そのアドバイザリーが実際に発行された年が正しく使用されるようになりました。
  • changes.csv ファイルが更新され、各パーツが正しく引用符で囲まれ、日時の形式も ISO 8601 に準拠したものになりました。
  • 発行機関の説明文を更新しました。
  • 各アドバイザリー内の正規 URL が修正されました。
  • 修正されていない/影響を受けていないコンポーネントは、各脆弱性に対してリストされている vendor_fix 修復にはリスト表示されなくなりました。

データファイル

  • cvemap.xml ファイルが圧縮形式 (cvemap.xml.bz2) で利用できるようになりました。このファイルを使用するようにスクリプトを移行することを推奨します。圧縮されていないバージョンは近い将来削除される可能性があります。

2023 年 2 月 1 日

CSAF/VEX

2022 年 12 月 7 日

OVAL

  • repository-to-cpe.json ファイルが更新され、各 CDN リポジトリーに新しい属性 (repo_relative_urls) が追加されました。この属性には、各 CDN リポジトリーを指す相対 URL のリストが含まれています。これらの URL を CDN リポジトリー名の代わりに使用して、リポジトリーを一意に識別し、CPE にマッピングすることができます。
  • まだリリースされていない製品の CPE は、repository-to-cpe.json ファイルには含まれなくなりました。同様に、このような製品の OVAL ストリームファイルも生成されなくなりました (SECDATA-14)。
  • /security/data/metrics/ で利用可能だった、廃止済み製品の次の CPE リストを削除しました: cpelist-critical-browsers.txtcpelist-critical-helix.txtcpelist-critical-moz.txtcpelist-rhel4.8as-default-install.txtcpelist-rhel4as-default-install.txtcpelist-rhel4ws-default-install.txtcpelist-rhel4ws-full-install.txtcpelist-rhel5.6eus.txtcpelist-rhel5server-default-install.txtcpelist-rhel5server-u6-default-install.txtcpelist-sjis.txt

2022 年 10 月 24 日

OVAL

  • 一部の CVE で新しい変更が無視され、他の既存の OVAL 定義と競合する可能性がある OVAL 定義の更新ロジックを修正しました (SECDATA-176)。

2022 年 10 月 3 日

OVAL

  • RHEL 8 OVAL ファイル上の OpenShift 4.x に jenkins および jenkins-2-plugins コンポーネントが誤って除外されてしまう問題を修正しました (SECDATA-27)。

2022 年 8 月 29 日

OVAL

  • RHEL7 および 8 用の openshift-4-including-unpatched OVAL ファイルにおいて、CPE で使用されていた OpenShift のバージョン表記の誤りを修正しました (SECDATA-26)。

2022 年 7 月 26 日

CSAF

  • 最新の CSAF 仕様に従って、CSAF プロバイダーメタデータファイルの pgp_keys 項目の名前を public_openpgp_keys に変更しました。

RHSA のお知らせ

  • エラータの通知が、rhsa-announce メーリングリストにほとんど送信されていなかったバグを修正しました。

2022 年 7 月 6 日

カスタマーポータル

CVE

  • CVE ページの FAQ コンテンツ内のリンクを更新しました。

RHSA のお知らせ

  • 一部のエラータの通知が、rhsa-announce メーリングリストに 2 回送信されてしまう可能性があるバグを修正しました。

2022 年 6 月 17 日

CVE

  • 場合によっては CVE ページに CVE の概要が表示されないことがあるバグを修正しました。

2022 年 6 月 9 日

OVAL

  • OVAL ファイルが RHEL 9 で利用できるようになりました: /oval/v2/RHEL9/

2022 年 5 月 17 日

CSAF

  • CSAF ファイルは、CVRF ファイルの後継としてベータ形式で利用できるようになりました。詳細は、今後のブログ投稿で共有される予定です。

カスタマーポータル

  • コンテンツが変更されていないにもかかわらず、複数のリクエストで異なるデータが表示される可能性があるキャッシュバグを修正しました。
  • Red Hat が Ansible コンテンツの署名に使用する証明書を 公開用 OpenPGP キーページ に追加しました。
  • インデックスディレクトリー内のリンクには、末尾のスラッシュが自動的に追加されるようになりました。

CVE

  • CPE プレフィックスのみが一致した場合に、完全な CPE ではなく切り詰められた CPE を影響ありとして報告してしまう照合バグを修正しました。

メトリクス

  • IAVA ID は、このデータが利用できなくなったため、CVE マップファイルに含まれなくなりました。

OVAL

  • モジュラー RPM OVAL ファイルでは、OVAL 解析を簡素化するために、常に OR 基準オブジェクト内の基準が報告されるようになりました。
  • RHEL 7 OVAL ファイルでは、単一の製品バージョンに対して複数の affects エントリーが許可されるようになりました。

2022 年 3 月 7 日

OVAL

  • oval/v2/RHEL8/openstack-16.oval.xml.bz2 ファイルは複数のファイルに分割され、OpenStack 16 の各マイナーリリースごとに 1 つのファイルが割り当てられるようになりました。
  • 修正されていない OVAL ファイルには、CVE ページに表示されるものと同じ CVE の説明が含まれるようになりました。

メトリクス

  • コンテナー名のラベルを外部リポジトリー名にマッピングするために使用できる container-name-to-repos-map.json ファイルを追加しました。このファイルに名前ラベルが存在しない場合、名前ラベルは CVE データ内の外部リポジトリー名と一致するものとみなされます。

2022 年 2 月 8 日

カスタマーポータル

  • 一部のレポートで最新バージョンではなく古いデータが表示される可能性があるバグを修正しました。
  • Red Hat がセキュアブートの EFI バイナリーに署名するために使用する証明書を 公開用 OpenPGP キーページ に追加しました。

RHSA のお知らせ

  • 同じアドバイザリーに対してメールが 2 回送信される可能性があるバグを修正しました。
  • お知らせメール内の誤ったリビジョン番号を修正しました。

2022 年 1 月 11 日

OVAL

  • advisory ノード内の cve 要素は、RHSA 以外のエラータの場合でも製品固有のセキュリティー影響度を使用するようになりました (通常、製品への影響度が脆弱性自体の一般的な影響度よりも低い場合に使用されます)。

RHSA のお知らせ

  • Keywords (一部のメールクライアントでは Tags としても表示されます) ヘッダー内の値のシリアライズ形式をカンマ区切りのリストに修正しました。

2021 年 11 月 8 日

CVE

  • CVE ページと Security Data API に、特定の製品において修正済みのすべてのコンポーネントに関するデータが含まれるようになりました。特定のアドバイザリーに関する CVE ページに記載されていないコンポーネントは、影響なしとみなすことができます。

OVAL

  • RHEL 6 Extended Life Cycle Support (ELS) 用の新しい OVAL フィードが追加されました: /oval/v2/RHEL6/rhel-6-els.oval.xml.bz2
  • oval/Red_Hat_Enterprise_Linux_[45678].xml および com.redhat.rhsa-RHEL[45678].xml ファイル、ならびに oval/com.redhat.rhsa-all.xml ファイルは、bz2 で圧縮されたバージョンにリダイレクトされるようになり、非圧縮形式では提供されなくなりました。
  • 空の /oval/rhsa.tar.bz2 が公開される問題を修正しました。

2021 年 10 月 13 日

OVAL

  • *-including-unpatched-* OVAL ファイル内の vulnerability 定義には、修正されていないすべての CVE について、影響を受ける各コンポーネントに対する解決策のリストが含まれるようになりました。解決策は CVE ページにリストされているものと一致しており、以下のいずれかになります。Affected (影響あり)Under investigation (調査中)Will not fix (修正予定なし)Out of support scope (サポート対象外)、および Fix deferred (修正延期)。特定の製品やコンポーネントに影響を与えない CVE は、com.redhat.unaffected namespace 内の vulnerability 定義に引き続き記載されます。
  • OVAL v2 ファイルは、application/x-tar ではなく、application/x-bzip2 という正しいコンテンツタイプで提供されるようになりました。

2021 年 8 月 26 日

セキュリティーデータファイルは、access.redhat.com ドメイン (例: /oval/v2/RHEL8) で利用できるようになりました。インデックスページは Apache HTTPD を使用してレンダリングされるのではなく、fancy-index を参考に各ディレクトリーごとに生成されるようになりました。

CVRF

  • アドバイザリーは、コンポーネントを指定する <FullProductName> 要素で、ビルド NVR (例: ose-network-tools-container-v4.7.0-202105071917.p0) の代わりにコンテナーイメージ名 (例: openshift4/network-tools-rhel8:v4.7.0-202105071917.p0) を使用します。

メトリクス

2021 年 4 月 26 日

OVAL

  • advisory ノード内の CVE 要素は、利用可能な場合は製品固有のセキュリティー影響度を使用するようになりました (通常、製品への影響度が脆弱性自体の一般的な影響度よりも低い場合に使用されます)。

2021 年 4 月 20 日

OVAL

  • *-including-unpatched-* OVAL ファイル内の vulnerability 定義に affected_cpe_list 要素を含めます。
  • すべての RHEL-8 OVAL ファイルに Red Hat CoreOS 4 のチェックを追加します。これにより、RHEL 8 OVAL ファイルを使用して Red Hat CoreOS インストールをテストできるようになります。

2021 年 2 月 2 日

OVAL

  • *-including-unpatched-* OVAL ファイル内の vulnerability 定義の metadatacve 要素を含めます。
  • *-including-unpatched-* OVAL ファイル内の vulnerability 定義の metadata に、updated 要素を含めます。
  • *-including-unpatched-* OVAL ファイルにおいて、製品ごとに適切なセキュリティー影響度を使用するために、各 advisory 要素の severitytitle を正しく設定します。この影響度は、CVE ページに示されている各製品の CVE 影響度と一致する必要があります。
  • 修正済みの OVAL ファイルにおいて、各アドバイザリーの affected_cpe_list に含まれる cpe 要素のリストを正しい内容で提供します。この修正は、以前のリリースの内容を統合しており、これまで不正確な CPE リストが含まれていた Extended Update Support リリースにおいて特に重要となります。

2021 年 1 月 19 日

OVAL

  • <advisory> ノード内の <bugzilla> 要素には、関連するアドバイザリーで対処された CVE に関連する Bugzilla バグ ID のみが含まれるようになりました。
  • advisory ノード内の CVE 要素は、個々の空白で区切られた CWE ID ではなく、完全な CWE チェーン を指定するようになりました。
  • *-debuginfo-* パッケージは、*-including-unpatched-* OVAL ファイルから除外されるようになりました (他のすべての OVAL ファイルからはすでに除外されています)。
  • カーネルライブパッチ kpatch アドバイザリーは OVAL ファイルに含まれています。OVAL スキャンと kpatch に関するいくつかの注意事項は、カスタマーポータル に記載されています。

2020 年 12 月 9 日

これは過去 1 年間の変更をまとめた最初の変更ログです。

OVAL

  • 特定の例外的なケースにおいて、kernel-rt パッケージの OVAL テストが修正されました。
  • いくつかの製品について、追加の未修正 OVAL ストリームが利用可能になりました。
  • 特定のケースでは、影響を受けるバイナリーパッケージに関するより詳細な情報が利用可能です (通常、カーネルヘッダーなどのパッケージは OVAL テストから除外されます)。

CVRF

  • 2010 年より前にリリースされたアドバイザリーに関する CVRF 文書が利用可能になりました。
  • CPE 識別子は <FullProductName> ノードに存在するようになりました。
  • コンテナーイメージは、CVRF ドキュメントで部分的にサポートされるようになりました。

その他

  • スキャンに使用する OVAL ストリームの特定を容易にするため、repository-to-cpe.json ファイルを追加しました。
  • cpe-dictionary.xml をアルファベット順に並べます。
  • 初期調査後に影響度が none (なし) に変更されたことで、不正確な影響度が表示されていた CVE 個別ページの問題を修正しました。
  • コア OS パッケージは、CVE ページの影響を受けるパッケージにリストされるようになりました。

Comments