私はTwitterで「RHELに脆弱性発見!!」という情報を見つけたら(ネットで騒がれるということは重要度が高いので)すぐに検索し、事態の把握に努めるようにしていました。しかし、初めてRHELの「CVEデータベース」を見たときはとっつきにくいものに見えました。
そこで今回はRHELの「CVEデータベース」の見方を紹介したいと思います。
https://access.redhat.com/security/security-updates/cve
この記事でわかること
- RHELの「CVEデータベース」の見方
この記事でわからないこと
- そのパッチを当てるべきかどうか
(クリティカル=当てろ、修正パッチある=当てろではないです。パッチ適用はステークホルダーと影響レベルについて真剣に議論したあとに判断するべきものです。)
RHELの「CVEデータベース」の見方
まずRHEL公式ではこのようになっています。
https://access.redhat.com/security/updates/classification
| Severity rating | Description |
|---|---|
| Critical impact | この評価は、リモートの未認証攻撃者によって簡単に悪用され、ユーザーの操作を必要とせずにシステム妥協(任意のコード実行)につながる可能性がある欠陥に与えられます。認証、ローカルまたは物理的なアクセス、またはありそうもない構成が必要な欠陥は、クリティカルインパクトとして分類されません。これらはワームによって悪用されるタイプの脆弱性です。 |
| Important impact | この評価は、リソースの機密性、完全性、または可用性を容易に損なう可能性がある欠陥に与えられます。これらは、ローカルまたは認証されたユーザーが追加の権限を得ることを許可する、または本来保護されるべきリソースを未認証のリモートユーザーが閲覧することを許可する、認証済みのリモートユーザーが任意のコードを実行することを許可する、またはリモートユーザーがサービス拒否を引き起こすことを許可するタイプの脆弱性です。 |
| Moderate impact | この評価は、悪用がより困難であるが、ある状況下でリソースの機密性、完全性、または可用性のいくつかの妥協にまだつながる可能性がある欠陥に与えられます。これらは、クリティカルまたはインポータントインパクトを持っていた可能性があるが、脆弱性の技術的評価に基づいて悪用があまり容易ではない、またはありそうもない構成に影響を与えるタイプの脆弱性です。 |
| Low impact | この評価は、セキュリティインパクトがあると考えられるその他の全ての問題に与えられます。これらは、悪用されるにはありそうもない状況が必要であるか、成功した悪用が最小限の結果しかもたらさないと信じられるタイプの脆弱性です。これには、プログラムのソースコードに存在するが、現在のまたは理論上可能だが未証明の悪用ベクトルが存在するか、脆弱性の技術分析中に見つかったものではない欠陥が含まれます。 |
ふええ、ながいよう。
既に戻るボタンをクリックして95%の人がブラウザバックしていそうな気がします。
幸いなことにとてもわかりやすくまとめてくださっている書籍がありますので、表形式で引用させていただきます。
「バージョン8&9両対応! Red Hat Enterprise Linux完全ガイド」より
https://amzn.to/3tlEsFX
| ページ上の項目 | 説明 | |
|---|---|---|
| Impact | 脆弱性の重大度 | |
| Critical | システム上のユーザー操作を必要とせずに容易に悪用でき、システムが危険にさらされる問題 | |
| Important | システム上のユーザー操作を必要とするが、容易に悪用でき、システムが危険にさらされる問題 | |
| Moderate | 重大な危険が発生する可能性はあるが実現が非現実的で悪用が困難な問題 | |
| Low | 上記に該当しない、軽微と考えられる問題 | |
| CVSS v3 Base Score | 脆弱性に対するCVSS v3およびRed Hatの評価に基づく0-10の範囲のスコア | |
| State | 製品ごとの脆弱性の影響の有無と対応状況 | |
| Fixed | 更新パッケージがリリース済み | |
| Affected | 製品が影響対象であると判明している | |
| Not Affected | 製品に影響がないと判明している | |
| Under investigation | 影響の有無を調査中 | |
| Will not fix | 修正を行わないことが決定 | |
| Out of support scope | 製品またはソフトウェアのライフサイクルからサポート対象外 | |
| Errata | エラータ(アドバイザリー)IDおよびページへのリンク |
とてもわかりやすいです。
自分が脆弱性評価をしていたころにこの本が手元にあったらうれしかったです。
RHELの「CVEデータベース」の見方を基に脆弱性を確認してみる
RHELの「CVEデータベース」にアクセスします。
https://access.redhat.com/security/security-updates/cve
試しに「CVE-2023-6932」を見てみましょう。
https://access.redhat.com/security/cve/cve-2023-6932
Affected Packages and Issued Red Hat Security Errata
| Platform | Package | State | Errata | Release Date |
|---|---|---|---|---|
| Red Hat Enterprise Linux 8 | kernel | Under investigation | ||
| Red Hat Enterprise Linux 9 | kernel | Under investigation |
前述した表に照らし合わせて考えてみましょう。
Impact→Moderate→重大な危険が発生する可能性はあるが実現が非現実的で悪用が困難な問題
State→Under investigation→調査中
Errta/Release Date→なし
なるほど、それほど重要ではなさそう・・・。
はい。いけませんね。これは完全にImpactだけで判断しました。
Impactだけで、自社への影響レベルを判断することはできません。
説明も読んでみましょう。
説明
Linux カーネルの IGMP プロトコルで競合状態が見つかりました。この問題により、攻撃者がアプリケーションのクラッシュを引き起こしたり、ローカル権限昇格を達成したりする可能性があります。
別の視点がないか確認のためにMITREのサイトの説明も確認します。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-6932
説明
Linux カーネルの ipv4:igmp コンポーネントにある use-after-free の脆弱性が悪用され、ローカル権限昇格が行われる可能性があります。 競合状態を悪用すると、別のスレッドによって解放された RCU 読み取りロック オブジェクトにタイマーが誤って登録される可能性があります。過去のコミット e2b706c691905fe78468c361aaabc719d0a496f1 をアップグレードすることをお勧めします。
やはりローカル権限昇格について書かれています。
ローカル権限昇格は内部犯か、すでに不正侵入している攻撃者が管理者権限を取りに来る攻撃です。
まずLANに侵入して、マシンの一般権限を奪取している状況は1つ高いハードルです。
内部犯の行動もすでに不正侵入している攻撃者の行動も最悪起こったとしても、EDR等なにかしらで検知できるかもしれません。なぜなら技術的に悪用が困難と判定されているからModerateだからです。
インターネットを軽く検索してもスクリプトキディが悪用できそうなツールがあるというニュースはなさそうです。
非常に未熟な分析ですが、何とか読むことができました。
経験上、これくらい話せればチーム内のつよつよがフォローしようとしてくれる最低限はできていると思います。
修正パッチが今後リリースされた場合は、Errataにハイパーリンクが追加され、Release Date修正パッチの公開日が追加されます。
(Moderateまでのパッチを適用する運用なら)この修正パッチをいつ当てるか?を議論するでしょう。問題が少ないと判断すれば、おそらく定期パッチ適用日についでに適用されるでしょう。
最後に
この記事に書いてあることと、グーグル検索を組み合わせればそれっぽいことは言えるようになります。あやふやでもとりあえず調査結果を報告し、アドバイスを仰ぐようにしましょう。間違っても怒られたくないからと適当で済ませないようにしましょう!私なら100倍怒ります( ´∀` )