2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

VulsAdvent Calendar 2017

Day 2

go-cpe-dictionaryを見てみよう

Last updated at Posted at 2017-12-01

まずは見てみよう

$ sqlite3 cpe-dbで中身を見てみる

  • cpesテーブルしかなかった
    • name, name_cpe23 は、CPE名
      • cpe:/a:wordpress:wordpress:4.8.1など
    • title は対象CPE名の名前っぽい
      • WordPress 4.8.1など

WordPress4.8.1であれば、以下のようなエントリがある。

118785|2017-10-04 13:17:43.058191568+09:00|2017-10-04 13:17:43.058191568+09:00||cpe:/a:wordpress:wordpress:4.8.1|cpe:2.3:a:wordpress:wordpress:4.8.1:*:*:*:*:*:*:*|WordPress 4.8.1|

何に使えるの?

CPE名の検索?
Vulsのconfig.tomlに記載することで、検知が可能になる。

sqlite> select name from cpes where title like "%WordPress%4.8.1%";
cpe:/a:wordpress:wordpress:4.8.1
sqlite> select name from cpes where title like "%YAMAHA%rtx1200%";
cpe:/o:yahama:rtx1200:10.01.08
cpe:/o:yahama:rtx1200:10.01.11
cpe:/o:yahama:rtx1200:10.01.16
cpe:/o:yahama:rtx1200:10.01.22
cpe:/o:yahama:rtx1200:10.01.24
cpe:/o:yahama:rtx1200:10.01.29
cpe:/o:yamaha:rtx1200:10.01.08
cpe:/o:yamaha:rtx1200:10.01.11
cpe:/o:yamaha:rtx1200:10.01.16
cpe:/o:yamaha:rtx1200:10.01.22
cpe:/o:yamaha:rtx1200:10.01.24
cpe:/o:yamaha:rtx1200:10.01.29
sqlite> 

終わりに

CPE名は、すべてのバージョンが含まれているわけではないようです。

  • 脆弱性があったバージョンが登録されているようだ
  • 最新版のバージョンは、登録されていない(ひとつ前の物がある)
  • 物によっては、登録すらない

CPEは物の定義をするだけなので、これだけで何かができるわけではありませんが、アップデート情報追跡の追加情報とはなりえると思われます。

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?