FutureVuls > リリースノート > 2024-12-16 リリース内容

2024-12-16 リリース内容

サーバに導入済みのスキャナは定期的に更新してください。

スキャナのバグ修正は最新版にのみ適用されます。
古いスキャナでは最新機能を利用できない場合があります。
スキャナの更新方法はこちらです。自動更新オプションを活用してください。

2024年12月16日リリースのスキャナバージョン (スキャナバージョンの確認方法)

OS	スキャナバージョン	スキャン実行スクリプト
Linux用	[NEW] vuls v0.28.0	`Version: 2024/02`
Windows用	vuls v0.25.2	[NEW] `Version: 2024/12`
Trivy	[NEW] 0.57.1	`2024/04`

RedHat系の脆弱性検知方法の変更とスキャナ変更

検知の変更点1: 主なもの

AlmaLinux OS および Rocky Linux の検知に使う脆弱性情報を、それぞれの開発元が提供する情報に切り替えました。これまでは Red Hat 社が提供する Red Hat Enterprise Linux 向けの脆弱性情報を流用する形で検知していたため、本リリースにより大きな差分が発生することがありえます。開発元の情報に切り替えたため、本リリース後の検知結果がより正確なものになります。

AlmaLinux OS
- errata ページ https://errata.almalinux.org/
- ドキュメント https://wiki.almalinux.org/documentation/errata.html
Rocky Linux
- errata ページ https://errata.rockylinux.org/
- ドキュメント https://wiki.rockylinux.org/rocky/errata/

検知の変更点2: バグ修正

Oracle Linux の検知において、FIPS 関連パッケージの脆弱性が誤って検知されるバグを修正しました。
- 具体的には、バージョン文字列に “_fips” を含まないパッケージは FIPS 関連パッケージの脆弱性は検知しないようになります。
- また、バージョン文字列に “_fips” を含むパッケージは FIPS 関連パッケージの脆弱性のみを検知するようになります。
Red Hat Enterprise Linux の検知において、バージョン比較におけるバグを修正しました。
- 具体的な例としては、“2.28-251.el8_10.5” 、“el8_” とそれに続く数字が無視された状態の “2.28-251.el8.5” として比較されてしまっていた問題です。本リリースでは元のバージョン文字列を使うよう修正されました。
OVAL データの曖昧性に起因する検知差異
- Red Hat Enterprise Linux の検知において、Red Hat 社が提供する OVAL フォーマットの脆弱性情報に、パッケージ修正ステータスが複数含まれる場合があります。
- 例えば修正ステータスとして “Affected” (影響あり) と “Will not fix” (修正を行わない) の2つが含まれる場合、本リリースの前後で、Future Vuls において脆弱性と検知されなくなる問題が分かっています。
- これは OVAL フォーマットの情報が曖昧であることが原因である、、Red Hat 社が提供する別のフォーマットであるCSAF を利用することで解決できる可能性があり、より良い検知結果を得るために鋭意対応中です。

スキャナの変更点

前述のとおり、Red Hat Enterprise Linux では CSAF フォーマットの脆弱性情報を利用する変更を計画中であり、近日中にリリース予定です。この情報を使った脆弱性検知では、バイナリパッケージに加えて、ソースパッケージの名称とバージョン情報が必要になります。そのため、スキャナにソースパッケージの名称を取得する機能追加を行いました。対象となる OS は、Red Hat Enterprise Linux, Amazon Linux, Oracle Linux, Rocky Linux, AlmaLinux OS, Fedora Linux, open SUSE, SUSE Leap, SUSE Enterprise です。

これに伴い、ペーストスキャンのコマンドも変更になります。対象となる OS は、Red Hat Enterprise Linux, Amazon Linux, Rocky Linux, AlmaLinux OS, Fedora Linux, open SUSE, SUSE Leap, SUSE Enterprise です。対象となるサーバについては、画面の指示に従い、できるだけ早く構成情報を更新いただくことを推奨します。

新機能：Amazon Inspector SBOMのインポート

Amazon Inspectorにより出力されたSBOMをFutureVulsにインポートできるようになりました。既存のAmazon Inspector連携では、脆弱性のないソフトウェアはFutureVulsには登録されませんでしたが、Amazon InspectorからエクスポートしたSBOMをFutureVulsにインポートすることにより、脆弱性のないソフトウェアも資産管理することが可能になります。

SBOMインポート機能の詳細は以下のマニュアルを参照してください。

SSVC最新更新日時をAPIでとれるように

FutureVuls API から取得できるタスクの項目に、ssvcUpdatedAt（SSVC最新更新日時） を追加し、日付でのフィルタできるようになりました。（RFC3339形式でUTC時刻を指定する仕様となっております。）

対象API
- v1/groupSet/tasks

利用例

フィルタなしの場合

curl -s -H 'accept: application/json' -H Authorization:<token> "https://rest.vuls.biz/v1/groupSet/tasks?limit=1000"

日本時間の 2024年10月17日「以降」 にSSVCPriorityが更新されたタスクを取得したい（以下ではUTC時刻である2024年10月16日15時00分を指定）

curl -s -H 'accept: application/json' -H Authorization:<token> "https://rest.vuls.biz/v1/groupSet/tasks?limit=1000&filterSSVCUpdatedAtAfter=2024-10-16T15:00:00Z"

# ex. タスク数をカウントしたい場合
curl -s -H 'accept: application/json' -H Authorization:<token> "https://rest.vuls.biz/v1/groupSet/tasks?limit=1000&filterSSVCUpdatedAtAfter=2024-10-16T15:00:00Z" | jq .tasks[].newedAt | wc -l

日本時間の 2024年10月17日「以前」 にSSVCPriorityが更新されたタスクを取得したい（以下ではUTC時刻である2024年10月16日15時00分を指定）

curl -s -H 'accept: application/json' -H Authorization:<token> "https://rest.vuls.biz/v1/groupSet/tasks?filterSSVCUpdatedAtBefore=2024-10-16T15:00:00Z"

日本時間の 2024年10月17日から2024年10月23日の間 にSSVCPriorityが更新されたタスクを取得したい（以下ではUTC時刻である2024年10月16日15時00分と2024年10月22日15時00分を指定）

curl -s -H 'accept: application/json' -H Authorization:<token> "https://rest.vuls.biz/v1/groupSet/tasks?limit=1000&filterSSVCUpdatedAtAfter=2024-10-16T15:00:00Z&filterSSVCUpdatedAtBefore=2024-10-22T15:00:00Z"

APIドキュメントで詳細なResponseを確認できます。

Trivy スキャンの際に発生していた rate limit に関する問題を緩和

Trivy スキャンを実行する際に発生する Trivy イメージを pull する操作が、rate limit 問題によって失敗するケースが散見されていました。
FutureVuls ではスキャン時に利用する Trivy のバージョンを 0.57.1 に引き上げることで問題を緩和しています。
（ Trivy の公式アナウンスはこちら）

グループ単位で登録可能なサーバ数の上限を設定できるように

グループごとに登録可能なサーバ数の上限を設定できるようになりました。
この機能を利用することで、グループ内に想定数以上のサーバが追加されることを防ぐことができ、意図しないライセンス数の消費を防止できるようになります。

画面操作について紹介

サーバ数上限はオーナ権限のユーザのみが設定・変更可能です。
「オーガニゼーション設定」>「グループ」から各グループのサーバ数上限を変更いただけます。

updateMaxServerCount

また、「サーバタブ」>「サーバ追加」をご確認いただくことで、グループ管理者やグループメンバが設定値を参照することが可能です。

checkMaxServerCount

画面操作のマニュアルについてこちらにも記載しています。
最新情報についてはマニュアルをご参照ください。

FutureVuls API について紹介

グループごとのサーバ上限数を便利に更新可能な FutureVuls API （[PUT] /v1/org/group/{groupID}）も同時に公開いたしました。
詳しくはオーガニゼーションAPI一覧をご確認ください。
対象 API の Swagger ドキュメントについてはこちらをご確認ください。

グループセットのタスク一覧に外部スキャンのフィルタを追加

グループセットのタスク一覧で外部スキャンのフィルタを追加しました。外部スキャンで登録された対象のタスクをフィルタして抽出することが可能です。

Windowsペーストサーバ構成更新時のカーネルバージョン未変更警告を追加

Windows Update後に構成情報を更新する際、カーネルバージョンが変更されていない場合に警告を表示するようにしました。これにより、適用済みKBの判別ミスを防ぎます。