本リリースによるスキャナバージョンの変更はありません。
今回のリリースでは、以下の変更を行いました。
パッチ提供がない脆弱性について、 FutureVuls では Red Hat の Security Tracker を参照して検知を行っていました。 FutureVuls がスキャンで取得するパッケージ名はバイナリパッケージである一方、 この Security Tracker に記述されるパッケージ名称はソースパッケージ名となっています。 このため、ソースパッケージとバイナリパッケージで名前が異なるパッケージにおいて誤検知が発生していました。
この不具合を修正するため、このリリースからは Red Hat 系 OS で OVAL データを用いて、 バイナリパッケージ名で検知を行うよう変更しました。
対象となる OS は次のとおりです。
誤検知が起きていたパターンは2種類です。
ひとつ目は、インストールされたバイナリパッケージ名と対応するソースパッケージ名が異なる場合です。 ソースパッケージ名で SecurityTracker が出るため、バイナリパッケージでは本来検知されるべき脆弱性が 検知されないパターンの誤検知となります。
ふたつ目はバイナリパッケージと同じ名前のソースパッケージが存在する場合です。 この場合は、ソースパッケージ名で SecurityTracker を参照するため、バイナリパッケージには関係のない 脆弱性が誤って検知されるパターンの誤検知がありえます。
これに伴い、モジュールに所属するパッケージに対して、パッチ提供がない脆弱性を検知出来なかった不具合も修正されています。