コンテンツにスキップ

2025-05 Hotfix リリース内容#

今月の Hotfix リリースでは、以下を修正しました。 リリース内容に関して、ご不明点やご質問がございましたら、サポート窓口にお問い合わせください。

2025-05-02 リリース内容#

SSVC 精度向上のため、JPCERT/CC の Windows パッチ注意喚起を PoC 判定から除外#

JPCERT/CC が発表する Windows 定期セキュリティパッチの注意喚起を、Exploitation: PoC とみなさないように調整し、SSVC の判定精度を向上させました。

背景#

これまで FutureVuls では、JPCERT/CC が発表する Windows 定期セキュリティパッチの注意喚起 (例: https://www.jpcert.or.jp/at/2019/at190032.html)を 「PoC(概念実証コード)が公開済みの脆弱性」 と判定していました。

その結果、定期セキュリティパッチに含まれる多数の CVE が PoC あり と誤って評価され、対応すべき脆弱性を選定する際のノイズとなるケースがありました。

変更点#

以下の条件を満たすタスクについては、他の条件(例: Metasploit に攻撃モジュールが存在する など)が 同時に成立しない限りPoC あり と判定しないよう仕様を変更しました。

  • 脆弱性詳細の警戒情報 欄に JPCERT/CC による Windows 定期セキュリティパッチの注意喚起 のみ が記載されている

条件を満たさない場合

上記 Windows 定例パッチの注意喚起 以外の JPCERT/CC の注意喚起は、 引き続き PoC あり と判定され、SSVC に反映されます。

効果#

  • Windows 月例パッチに関連するタスクが不要に PoC あり と判断されなくなります。
  • SSVC 優先度判定の精度が向上 し、ノイズが低減されます。
  • 真に緊急対応が必要なタスクを迅速かつ的確に特定できます。

2025-05-07 リリース内容#

タスクコメント内でメンションされたユーザにメール通知が飛ばない不具合の修正#

4/21 から 5/7 にかけて、タスクコメント内でメンションされたユーザにメール通知が飛ばない不具合が発生しておりました。

5/7 20:00 頃に不具合を修正しましたので、以降はメンションされたユーザに対し、通知が飛ぶようになっております。

2025-05-15 リリース内容#

SBOMインポート時の誤検知を修正:バージョン情報のepoch値取り込み不備を解消#

SBOM ファイルをインポートする際に、ソフトウェアバージョンの epoch 値が正しく取り込まれない不具合を修正しました。 この不具合により、一部のソフトウェアでは誤検知が発生しており、修正を適用するにはSBOMファイルの再インポートが必要です。

本不具合の影響を受けるお客様#

epoch を用いたバージョン管理が行われているソフトウェアを、SBOM ファイル経由で FutureVuls に取り込まれているお客様が対象です。

本不具合による影響詳細#

脆弱性検知時には「お使いのソフトウェアバージョン番号」と「脆弱性修正後のソフトウェアバージョン番号」の比較を実施しており、まず最初に epoch バージョンの比較をします。

修正前の状態では、SBOM ファイルからインポートされた全てのソフトウェアの epoch バージョンは 0 として取り込まれていたため、epoch バージョン 1 以降のバージョンで修正された脆弱性が全て検知対象となる不具合が発生しておりました。

お客様へのお願い:SBOM ファイルの再インポート#

本不具合の修正を適用するには、SBOM ファイルを再インポートする必要がございます。 epoch を用いたバージョン管理が行われているソフトウェアをお使いの方は SBOM ファイルの更新の実施をお願いいたします。