CPE

CPEについて

CPEをFutureVulsに登録することで、通常のスキャンでは検知できないパッケージの脆弱性を検知できます。

CPEについての説明はIPAによるCPE概説をご覧ください。

CPEには現在、URI形式(例: cpe:/a:microsoft:internet_explorer:8.0.6001:beta ) と Formated String形式(例: cpe:2.3:a:microsoft:internet_explorer:8.0.6001:beta:*:*:*:*:*:* ) があります。

URI形式はバージョン2.2、 FormatedString形式はバージョン2.3と呼ばれています。
表示できる情報量は変わらず、表示形式に差があるのみとなっています。
FutureVulsでは、URI形式、FormatedString形式どちらでも登録可能となっていますが、表示はURI形式に統一しています。

CPEの利用用途

例えば以下のような用途で利用可能です。

  • ネットワーク機器のパッケージの脆弱性を検知する (ex. cpe:/h:cisco:12000_router )
  • プログラミング言語のライブラリの脆弱性を検知する (ex. cpe:/a:ruby-i18n:i18n:0.6.5:-:~-~-~ruby~~ )
  • wordpressなどのソフトウェアの脆弱性を検知する (ex. cpe:/a:wordpress:wordpress:3.8 )
  • DBの脆弱性を検知する (ex. cpe:/a:postgresql:postgresql:7.4.10 )
  • Windows製品の脆弱性を検知する (ex. cpe:/o:microsoft:windows:- )
  • 特定のOSに関連する全ての脆弱性を検知する (ex. cpe:/o:redhat:linux:7.2 )
  • Androidの脆弱性を検知する (ex. cpe:/o:google:android:- )
  • その他、スキャンできないサーバのパッケージを登録して検知する

上記のように、CPEを使用することで脆弱性検知の幅が広がり、通常のスキャンでは手の届かないソフトウェアなども検知可能になります。

CPE登録

CPEはソフトウェア一覧から登録できます。

CPE登録後、登録したサーバがスキャンしたタイミングで 追加したCPEの脆弱性が検知されます。

現在、CPEの登録方法は4種類あります。

image.png

プルダウンで選択して登録する

partやvendorなどをプルダウンで選択してCPEを登録します。

候補としてプルダウンに現れるCPEはNVDのデータベースから取得しています。
プルダウンから候補が見つからない場合、手入力での登録も可能です。

image.png

URI形式、またはFormatedString形式で登録する

CPEの形式がわかっている場合は、CPE名称を貼り付けて登録できます。

image.png

OWASP Dependency Checkのxmlから複数登録する

OWASP Dependency Check を利用している場合、出力されたxmlを使用し、検知したライブラリを一括で登録できます。

信頼度が低いCPEはあらためて確認の上で登録してください。

image.png

フリーテキストで複数登録する

登録したいCPEが複数ある場合、フリーテキストで貼り付けて登録できます。 image.png

擬似サーバ

CPEの登録にはサーバが必要です。
すでにスキャンしているサーバにもCPEの登録が可能ですが、ネットワーク機器としてCPE専用のサーバを用意したいという場合は、擬似サーバを作成しましょう。

擬似サーバは、CPE登録専用のサーバとなっており、サーバ一覧から作成できます。
作成後は、通常のサーバ同様にソフトウェアからCPEを登録します。

擬似サーバもスキャンサーバと同様に1つのサーバとして料金計算されます。ご注意ください。

image.png

擬似サーバはスキャンサーバと違い、手動でのスキャンが可能です。
CPEを登録し、すぐにスキャンを実行し、脆弱性を確認できます。

image.png

なお、手動でスキャンを実行しなくても、毎日決まった時間にスキャンが自動で実行されます。

CPEの脆弱性検知

CPEの脆弱性検知のタイミングは擬似サーバとそれ以外で異なります。

通常のサーバの場合

サーバのスキャン時と一緒に脆弱性が検知されます。

擬似サーバの場合

手動スキャンを実行するか、もしくは、毎日決まった時間にスキャンされます。
スキャン時間はサーバ詳細に記載されています。

CPEアップデート

一度登録したCPEは画面からアップデートを行うことができます。

CPEをアップデートする事で、通常のパッケージ管理同様に、タスクのステータスを管理できます。

image.png

アップデートは、プルダウンから選択、またはCPENameで指定できます。
プルダウンは該当する値がなくても、手動で入力することにより登録できます。

image.png

運用例
  • wordpress3.8をFutureVulsで管理するために、 cpe:/a:wordpress:wordpress:3.8 を登録する。
  • 手動スキャンを実行し、wordpress3.8 の脆弱性を確認する。
  • 対応が必要な脆弱性に対して、タスクの担当者、対応予定、優先度等を設定する。
  • 実機のwordpressのバージョンを4.0にアップデートする。
  • FutureVulsのCPE (cpe:/a:wordpress:wordpress:3.8) を選択し、アップデートボタンをクリックし、バージョンを 4.0 に変更する。
  • 再度手動スキャンを実行し、脆弱性が解消されているかを確認する。

あくまでCPEのバージョン以下をアップデートする作業であるため、Part・Vendor・Productは変更できません。

CPE削除

CPEを誤って登録してしまった場合は、CPEの削除ができます。

image.png

CPEを削除すると、関連するタスク、脆弱性もすべて削除されます。
(削除したCPE以外にも紐付いているタスク、脆弱性は削除されません)