CPEスキャンのFAQ

登録したCPEが正しいか確認する方法は

NVDのCPE検索ページより検索してください。

たとえば、OracleのJDKは1.6.0とそれ以外でEditionに「_」(アンダースコア)がある場合とない場合があります。CPE登録には注意してください。もし間違えて登録すると未検知や誤検知します。

参考: JDKのNVDサーチ結果

NVDにページが存在するが検知されないCVEがあるのは何故か

FutureVulsでは、CPEを画面上から登録することにより、以下に挙げたようなOSパッケージ管理以外のソフトウェア脆弱性も検知できます。

  • ネットワーク機器のOSやファームウェア
  • Oracle WebLogicなど商用のミドルウェア
  • 自分でコンパイルしたもの

FutureVulsのCPEスキャンの情報ソースはNVDのJSON Feedです。 具体的にはNVDのJSON FeedのCPE Configurationの欄を用いて検知します。 NVDにConfigurationsの情報が登録されていれば検知可能ですが、未登録の状態では検知できません。

参考: CVE-2020-17530

image