コンテンツにスキップ

2019-07-05 リリース内容#

今回のリリースでは以下の変更が入りました。

機能追加#

RHEL8サポート#

Red Hat Enterprise Linux 8に対応しました。 本日から RHEL8のスキャンが可能です。

RHEL8のスキャンにはスキャナの更新が必要です

検知された脆弱性の対応判断支援を強化#

脆弱性タブのメニューを変更#

image

タブメニューを一新しました。 スキャンして検知された脆弱性は、まずは一番左の未対応なタブに表示されます。 それぞれの脆弱性ごとに対応要否を判断し、非表示にするか、対応する場合はタスクを更新すると「未対応」なままの脆弱性が減っていきます。 左側「未対応」な放置されている脆弱性をどんどん減らして、右側の対応中、対応済みに振り分けていくイメージです。

以下にそれぞれのタブの意味を説明します。

重要な未対応#

  • 「重要フィルタ」で絞り込まれた脆弱性に関連するタスクのうち、1つでも未対応ステータスがある脆弱性が表示されます
  • 未対応ステータスとは、「非表示ではない」かつタスクステータスが「new」のもの、つまり、放置されている脆弱性のことです。

その他の未対応#

  • 「重要フィルタ」で該当 しない 脆弱性に関連するタスクのうち、1つでも未対応ステータスなままの脆弱性が表示されます。

対応済み#

  • その脆弱性に関連するタスクすべてが対応済みステータスのものが表示されます。
  • 対応済みとは、タスクのステータスが「PATCH_APPLIED」「WORKAROUND」または、非表示のものです。

対応中#

  • 現在対応中の脆弱性が表示されます。
  • 正確には、未対応ではない、かつ、対応済みではない脆弱性が表示されます。

脆弱なパッケージのプロセスの起動状況、ネットワークポートがListen状態かを表示#

image

検知した脆弱性に該当するパッケージのうち、プロセスが起動しているものや、ネットワークポートを開いて Listen しているものがあるかをアイコンで表示します。 インターネットや LAN からネットワーク経由で攻撃される脆弱性の対応判断に役に立つ情報です。 プロセス起動状況やポートの情報は、脆弱リスト、タスクリスト、ソフトウェアリストから確認できます。

本機能はスキャナの更新が必要です

Will not fixな脆弱性を検知しないように#

RHEL と CentOS にて、Red Hat 社がリスクが低いのでパッチを提供しないと判断した脆弱性(パッチ提供ステータスが Will not fix)を検知しないようにしました。 これにより Red Hat が低リスクと判断した脆弱性を除外した状態で判断が可能となります。 また、過去に検知されていた Will not fix の脆弱性を画面に表示されないように変更しました。 脆弱性の数、タスクの数が減少していることがありますが、今回の対応によるものです。

なお、パッチ提供予定のある「Affected」な脆弱性と、将来的に修正される「Fix deferred」「Not Fixed Yet」な脆弱性は引き続き、検知されます。

RHEL のパッチ提供ステータスは下記ページが参考になります。 https://access.redhat.com/blogs/product-security/posts/2066793

画面に用いる色を変更しました#

色調の統一や可読性向上のため画面に用いられている色の変更を画面全体に行いました。 脆弱性一覧の「深刻度」やタスク一覧の「タスクの優先度」は以下のようになりました。 文字の可読性が向上したとともに、モノクロ印刷をした場合に危険なもの・優先度が高いものほど背景の色が濃くなるように調整されています。

image

他にも SSM コマンド履歴やスキャン履歴のステータス、リンクのテキスト、ペインの区切り線などの色も調整しています。 ヘルプページへの反映は今後順次行われる予定です。

重要フィルタの設定をグループ全体で共有できるように#

これまではグループのメンバ各々が重要フィルタのルールを設定していました。 今回の変更により、グループ内でルールを共有するようにし、統一したルールで脆弱性管理ができるようになりました。 今まで使用していた重要フィルタの設定は使用できなくなります。 グループ内で相談の上、重要な脆弱性のフィルタを設定してください。(設定はグループ管理者のみ可能です)