脆弱性情報の収集・管理ツール jvnman v0.2.0 をリリース,他
脆弱性情報の収集・管理ツール jvnman の v0.2.0 をリリースした。 また jvnman に関連するパッケージもリリースした。
- Release v0.2.0 · spiegel-im-spiegel/jvnman · GitHub
- Release v0.4.0 · spiegel-im-spiegel/go-myjvn · GitHub
- Release v0.1.0 · spiegel-im-spiegel/go-cvss · GitHub
spiegel-im-spiegel/go-cvss は spiegel-im-spiegel/go-myjvn 内のサブパッケージを独立させたもので今回が初リリース。 これでようやく CVSS をまともにハンドリングできるようになった。
たとえば JVNDB-2018-003148 に関する情報がほしければ
$ jvnman info JVNDB-2018-003148
とすれば標準出力に
# Mercurial におけるアクセス制御に関する脆弱性
脆弱性対策情報ID: [JVNDB-2018-003148](https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-003148.html)
Mercurial には、アクセス制御に関する脆弱性が存在します。
## 想定される影響
情報を取得される、および情報を改ざんされる可能性があります。
### 影響を受ける製品
- Debian / Debian GNU/Linux
- Mercurial / Mercurial 4.5 およびそれ以前
### 深刻度
緊急: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N(9.1)
| 基本評価基準 | 評価値 |
|--------|-------|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | なし |
## 対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
## 関連情報
- Common Vulnerabilities and Exposures (CVE) [CVE-2018-1000132](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000132)
- Debian [[SECURITY] [DLA 1331-1] mercurial security update](https://lists.debian.org/debian-lts-announce/2018/03/msg00034.html)
- JVNDB [CWE-284](https://cwe.mitre.org/data/definitions/284.html) 不適切なアクセス制御
- National Vulnerability Database (NVD) [CVE-2018-1000132](https://nvd.nist.gov/vuln/detail/CVE-2018-1000132)
- Release Note [Mercurial 4.5.1 / 4.5.2 (2018-03-06)](https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.5.1_.2F_4.5.2_.282018-03-06.29)
## 更新情報
- 発見日 2018年3月6日
- 公開日 2018年5月15日
- 最終更新日 2018年5月15日
(Powerd by [JVN](https://jvn.jp/))
と出力される。 CVSS のベクタもちゃんと表に展開されるぞ。
よーし,うむうむ,よーし。
とりあえず,これで欲しい情報は取れるようになったので,あとはのんびりテストをするか。 つか, gpgpdump のほうも作業を進めないといけないのだが…