List of Cvss [text.Baldanders.info]

go-cvss パッケージ v1.5.0 をリリースした

2023-01-31T07:36:54+00:00

バグ報告が止まらない。ごめんなさいごめんなさいごめんなさい…

ということで github.com/goark/go-cvss パッケージの v1.5.0 をリリースした。

Release v1.5.0 · goark/go-cvss · GitHub

このバージョンで CVSSv2 のデコードを行うサブパッケージを v2/base から v2/metric に移行した。こんな感じ。

//go:build run
// +build run

package main

import (
    "fmt"
    "os"

    "github.com/goark/go-cvss/v2/metric"
)

func main() {
    bm, err := metric.NewBase().Decode("AV:N/AC:L/Au:N/C:N/I:N/A:C") //CVE-2002-0392
    if err != nil {
        fmt.Fprintln(os.Stderr, err)
        return
    }
    fmt.Printf("Severity: %v (%v)\n", bm.Severity(), bm.Score())
    // Output:
    // Severity: Severity: High (7.8)
}

これに伴い v2/base パッケージ以下の型定義およびメソッドには Deprecated マークを付けている。一連の変更でようやく CVSSv2 処理系は v3/metric パッケージと互換になった。まぁ今どき CVSSv2 を使うことはないと思うけどね。

そもそも github.com/goark/go-cvss パッケージ自体がかなり試行錯誤していて，随分とカオスな状態になっていたので，この機会に整理できてよかった。もうバグはないよなぁ。ないと思いたい。

2022-01-31 追記

その後のバグ報告で，上述の Deprecated マークを付けた v2/base パッケージはデータ構造上 CVSSv2 の仕様を満たせないことが分かったので v1.6.0 で drop した。

Release v1.6.0 · goark/go-cvss · GitHub

とほほ orz

ブックマーク

CVSS v2 Complete Documentation

参考図書

プログラミング言語Go (ADDISON-WESLEY PROFESSIONAL COMPUTING SERIES): Alan A.A. Donovan (著), Brian W. Kernighan (著), 柴田芳樹 (翻訳); 丸善出版 2016-06-20; 単行本（ソフトカバー）; 4621300253 (ASIN), 9784621300251 (EAN), 4621300253 (ISBN); 評価

著者のひとりは（あの「バイブル」とも呼ばれる）通称 “K&R” の K のほうである。この本は Go 言語の教科書と言ってもいいだろう。と思ったら絶版状態らしい（2025-01 現在）。復刊を望む！

reviewed by Spiegel on 2016-07-13 (powered by PA-APIv5)

初めてのGo言語 ―他言語プログラマーのためのイディオマティックGo実践ガイド: Jon Bodner (著), 武舎広幸 (翻訳); オライリージャパン 2022-09-26; 単行本（ソフトカバー）; 4814400047 (ASIN), 9784814400041 (EAN), 4814400047 (ISBN); 評価

2021年に出た “Learning Go” の邦訳版。私は版元で PDF 版を購入。 Go 特有の語法（idiom）を切り口として Go の機能やパッケージを解説している。 Go 1.19 対応。

reviewed by Spiegel on 2022-10-11 (powered by PA-APIv5)

実用 Go言語 ―システム開発の現場で知っておきたいアドバイス: 渋川よしき (著), 辻大志郎 (著), 真野隼記 (著); オライリージャパン 2022-04-22; 単行本（ソフトカバー）; 4873119693 (ASIN), 9784873119694 (EAN), 4873119693 (ISBN); 評価

版元のデジタル版を購入。 Go で躓きやすい点を解説していくのが最初の動機らしい。「◯◯するには」を調べる際にこの本を調べるといいかも。

reviewed by Spiegel on 2022-10-26 (powered by PA-APIv5)

go-cvss パッケージ v1.4.2 をリリースした

2023-01-28T03:47:48+00:00

CVSS ベクタ文字列を可視化したいという軽い動機で作った，拙作の github.com/goark/go-cvss パッケージだが，微妙に使って頂いてるようで，バグ報告をいくつか頂いたため，修正版をリリースした。

Release v1.4.2 · goark/go-cvss · GitHub

CVSS のベクタ文字列（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H¹ など）のバリデーションを厳密に行うようにした。今までベクタ文字列の parse はかなり緩くしていて， metric 名が重複してても（後勝ちで）有効にしてたし，大文字小文字も関係なく有効にしていたが，仕様的にあかんやろ，ということで。これに伴い，古いコードは drop した（コード管理が煩雑になるので）。

使い方は今までと変わらず

package main

import (
	"flag"
	"fmt"
	"io"
	"os"

	"github.com/goark/go-cvss/v3/metric"
	"github.com/goark/go-cvss/v3/report"
	"golang.org/x/text/language"
)

var template = "- `{{ .Vector }}`" + `
- {{ .SeverityName }}: {{ .SeverityValue }} (Score: {{ .BaseScore }})

| {{ .BaseMetrics }} | {{ .BaseMetricValue }} |
|--------|-------|
| {{ .AVName }} | {{ .AVValue }} |
| {{ .ACName }} | {{ .ACValue }} |
| {{ .PRName }} | {{ .PRValue }} |
| {{ .UIName }} | {{ .UIValue }} |
| {{ .SName }} | {{ .SValue }} |
| {{ .CName }} | {{ .CValue }} |
| {{ .IName }} | {{ .IValue }} |
| {{ .AName }} | {{ .AValue }} |
`

func main() {
	flag.Parse()
	if flag.NArg() < 1 {
		fmt.Fprintln(os.Stderr, "Set CVSS vector")
		return
	}
	bm, err := metric.NewBase().Decode(flag.Arg(0))
	if err != nil {
		fmt.Fprintf(os.Stderr, "%+v\n", err)
		return
	}
	r, err := report.NewBase(bm, report.WithOptionsLanguage(language.Japanese)).ExportWithString(template)
	if err != nil {
		fmt.Fprintf(os.Stderr, "%+v\n", err)
		return
	}
	if _, err := io.Copy(os.Stdout, r); err != nil {
		fmt.Fprintf(os.Stderr, "%+v\n", err)
	}
}

などとしておけば

$ go run main.go "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H"
- `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H`
- 深刻度: 緊急 (Score: 9.8)

| 基本評価基準 | 評価値 |
|--------|-------|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |

と出力される。

この github.com/goark/go-cvss パッケージってコードの半分くらい貰いものだし，さらに今回は fuzzing テストまでしてもらって，ホンマに「マジすんません」って感じである。ありがたや 🙇

でも CVSS ってあくまでもリスクの「評価基準」のひとつであって，そこから「どうする」ってのはまた別の話なんだよね。個人なら CVSS の Base metrics 情報を見て都度判断すればいいけど，組織では SSVC (Stakeholder-Specific Vulnerability Categorization) なんかと組み合わせる必要があるかもしれない。

道具は適材適所で使いましょう，ということで。

【2022-01-29 追記】 v1.4.4 をリリースした

またバグ報告があったので修正版をリリースした。とほほ…

Release v1.4.4 · goark/go-cvss · GitHub

今回のついでにスコアの計算周りのリファクタリングを行った。ちょっとスッキリ！

ブックマーク

参考図書

プログラミング言語Go (ADDISON-WESLEY PROFESSIONAL COMPUTING SERIES): Alan A.A. Donovan (著), Brian W. Kernighan (著), 柴田芳樹 (翻訳); 丸善出版 2016-06-20; 単行本（ソフトカバー）; 4621300253 (ASIN), 9784621300251 (EAN), 4621300253 (ISBN); 評価

reviewed by Spiegel on 2016-07-13 (powered by PA-APIv5)

初めてのGo言語 ―他言語プログラマーのためのイディオマティックGo実践ガイド: Jon Bodner (著), 武舎広幸 (翻訳); オライリージャパン 2022-09-26; 単行本（ソフトカバー）; 4814400047 (ASIN), 9784814400041 (EAN), 4814400047 (ISBN); 評価

reviewed by Spiegel on 2022-10-11 (powered by PA-APIv5)

実用 Go言語 ―システム開発の現場で知っておきたいアドバイス: 渋川よしき (著), 辻大志郎 (著), 真野隼記 (著); オライリージャパン 2022-04-22; 単行本（ソフトカバー）; 4873119693 (ASIN), 9784873119694 (EAN), 4873119693 (ISBN); 評価

版元のデジタル版を購入。 Go で躓きやすい点を解説していくのが最初の動機らしい。「◯◯するには」を調べる際にこの本を調べるといいかも。

reviewed by Spiegel on 2022-10-26 (powered by PA-APIv5)

CVE-2022-3515 より ↩︎

go-cvss パッケージ正式版 v1.0.0 をリリースした

2022-02-20T00:47:18+00:00

私がモタモタしている間に CVSS v3.1 の環境評価基準（Environmental Metrics）のコードを PR でいただきました。ありがたや 🙇

いただいたコードをベースにちょろんと機能を足して正式版 v1.0.0 としてリリースした。

Release v1.0.0 · spiegel-im-spiegel/go-cvss · GitHub

当初「欲しい」と思っていた機能は網羅されたので正式版でいいかな，と。まぁ，半分以上貰ったコードなんだけどね（笑）改めまして，ありがとうございます 🙇

ベンダ等が出す基本評価基準（Base Metrics）の処理は今までどおり。

//go:build run
// +build run

package main

import (
	"fmt"
	"io"
	"os"

	"github.com/spiegel-im-spiegel/go-cvss/v3/metric"
	"github.com/spiegel-im-spiegel/go-cvss/v3/report"
)

var template = `| {{ .BaseMetrics }} | {{ .BaseMetricValue }} |
|--------|-------|
| {{ .AVName }} | {{ .AVValue }} |
| {{ .ACName }} | {{ .ACValue }} |
| {{ .PRName }} | {{ .PRValue }} |
| {{ .UIName }} | {{ .UIValue }} |
| {{ .SName }} | {{ .SValue }} |
| {{ .CName }} | {{ .CValue }} |
| {{ .IName }} | {{ .IValue }} |
| {{ .AName }} | {{ .AValue }} |
`

func main() {
	bm, err := metric.NewBase().Decode("CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H") //CVE-2021-44716: net/http: limit growth of header canonicalization cache
	if err != nil {
		fmt.Fprintln(os.Stderr, err)
		return
	}
	r, err := report.NewBase(bm).ExportWithString(template)
	if err != nil {
		fmt.Fprintln(os.Stderr, err)
		return
	}
	if _, err := io.Copy(os.Stdout, r); err != nil {
		fmt.Fprintln(os.Stderr, err)
	}
}

てな感じに書けば

$ go run sample1.go 
| Base Metrics | Metric Value |
|--------|-------|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Scope | Changed |
| Confidentiality Impact | High |
| Integrity Impact | High |
| Availability Impact | High |

と出力される。また

r, err := report.NewBase(bm).ExportWithString(template)

を

r, err := report.NewBase(bm, report.WithOptionsLanguage(language.Japanese)).ExportWithString(template)

と書き換えれば

$ go run sample1.go 
| 基本評価基準 | 評価値 |
|--------|-------|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | なし |
| 完全性への影響 | なし |
| 可用性への影響 | 高 |

と日本語になる（英語と日本語しか対応してません）。

今回の環境評価基準までのベクタ値を含めた評価であれば

//go:build run
// +build run

package main

import (
	"fmt"
	"io"
	"os"
	"strings"

	"github.com/spiegel-im-spiegel/go-cvss/v3/metric"
	"github.com/spiegel-im-spiegel/go-cvss/v3/report"
	"golang.org/x/text/language"
)

var template = `- CVSS Version {{ .Version }}
- Vector: {{ .Vector }}

## Base Metrics

- Base Score: {{ .BaseScore }}

| {{ .BaseMetrics }} | {{ .BaseMetricValue }} |
|--------|-------|
| {{ .AVName }} | {{ .AVValue }} |
| {{ .ACName }} | {{ .ACValue }} |
| {{ .PRName }} | {{ .PRValue }} |
| {{ .UIName }} | {{ .UIValue }} |
| {{ .SName }} | {{ .SValue }} |
| {{ .CName }} | {{ .CValue }} |
| {{ .IName }} | {{ .IValue }} |
| {{ .AName }} | {{ .AValue }} |

## Temporal Metrics

- Temporal Score: {{ .TemporalScore }}
- {{ .SeverityName }}: {{ .SeverityValue }}

| {{ .TemporalMetrics }} | {{ .TemporalMetricValue }} |
|--------|-------|
| {{ .EName }} | {{ .EValue }} |
| {{ .RLName }} | {{ .RLValue }} |
| {{ .RCName }} | {{ .RCValue }} |

## Environmental Metrics

- {{ .SeverityName }}: {{ .SeverityValue }} ({{ .EnvironmentalScore }})

| {{ .EnvironmentalMetrics }} | {{ .EnvironmentalMetricValue }} |
|--------|-------|
| {{ .CRName }} | {{ .CRValue }} |
| {{ .IRName }} | {{ .IRValue }} |
| {{ .ARName }} | {{ .ARValue }} |
| {{ .MAVName }} | {{ .MAVValue }} |
| {{ .MACName }} | {{ .MACValue }} |
| {{ .MPRName }} | {{ .MPRValue }} |
| {{ .MUIName }} | {{ .MUIValue }} |
| {{ .MSName }}  | {{ .MSValue }} |
| {{ .MCName }}  | {{ .MCValue }} |
| {{ .MIName }}  | {{ .MIValue }} |
| {{ .MAName }}  | {{ .MAValue }} |
`

func main() {
	em, err := metric.NewEnvironmental().Decode("CVSS:3.1/AV:P/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H/E:F/RL:U/RC:C/CR:M/IR:H/AR:M/MAV:L/MAC:H/MPR:L/MUI:R/MS:U/MC:L/MI:H/MA:L") //Random CVSS Vector
	if err != nil {
		fmt.Fprintln(os.Stderr, err)
		return
	}
	r, err := report.NewEnvironmental(em, report.WithOptionsLanguage(language.Japanese)).ExportWith(strings.NewReader(template))
	if err != nil {
		fmt.Fprintln(os.Stderr, err)
		return
	}
	if _, err := io.Copy(os.Stdout, r); err != nil {
		fmt.Fprintln(os.Stderr, err)
	}
}

などとすれば

$ go run sample2.go 
- CVSS Version 3.1
- Vector: CVSS:3.1/AV:P/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H/CR:M/IR:H/AR:M/MAV:L/MAC:H/MPR:L/MUI:R/MS:U/MC:L/MI:H/MA:L

## Base Metrics

- Base Score: 6.1

| 基本評価基準 | 評価値 |
|--------|-------|
| 攻撃元区分 | 物理 |
| 攻撃条件の複雑さ | 高 |
| 必要な特権レベル | 高 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |

## Temporal Metrics

- Temporal Score: 6
- 深刻度: 警告

| 現状評価基準 | 評価値 |
|--------|-------|
| 攻撃される可能性 | 攻撃可能 |
| 利用可能な対策のレベル | なし |
| 脆弱性情報の信頼性 | 確認済 |

## Environmental Metrics

- 深刻度: 警告 (6.5)

| 環境評価基準 | 評価値 |
|--------|-------|
| 機密性の要求度 | 中 |
| 完全性の要求度 | 高 |
| 可用性の要求度 | 中 |
| 調整後の攻撃元区分 | ローカル |
| 調整後の攻撃条件の複雑さ | 高 |
| 調整後の必要な特権レベル | 低 |
| 調整後のユーザ関与レベル | 要 |
| 調整後のスコープ  | 変更なし |
| 調整後の機密性への影響  | 低 |
| 調整後の完全性への影響  | 高 |
| 調整後の可用性への影響  | 低 |

などと出力される。

まぁ，個人で使う場合は現状評価基準や環境評価基準の評価はしないけどね。あれは組織が脆弱性のリスク管理に使うものだし。

なお環境評価基準は v3.0 と v3.1 で評価方法が若干異なるがスコアの算出は v3.1 のロジックで行っている（筈）。まぁ，今時わざわざ v3.0 を使う組織はないじゃろう。

というわけで個人の手遊びで書くのを躊躇していたのだが，多少でも使っていただいている人がいて PR までいただけるのはありがたい話である（大事なことなので何度でも繰り返すw）。

ブックマーク

えんやらやっと go-cvss パッケージ v0.4.0 をリリースした

2020-10-07T07:48:21+00:00

絶賛放置プレイ中の spiegel-im-spiegel/go-cvss パッケージだが，どうも使っていただいてる方がいて「Temporal Metrics は実装しないの？」と言われ「PR くれるならマージするよ」と下手くそな英語で返したのだが，本当に PR をくださって恐縮です。

で，まぁ，ありがたくマージしていったん v0.3.0 をリリースしたのだが，なんせベースのコードが場当たりなやっつけコードなので，マジすんません 🙇 て感じ。

そこで，一念発起してちゃんと書き直すことにした。もっとも，コード自体はほとんど使いまわしで構成を変えただけなんだけどね。

というわけで v0.4.0 をリリースしました。

Release v0.4.0 · spiegel-im-spiegel/go-cvss · GitHub

以前のコードは残してあるが deprecated なコードとしていずれ削除する予定。書き直したコードはこんな風に使う。

package main

import (
    "fmt"
    "os"

    "github.com/spiegel-im-spiegel/go-cvss/v3/metric"
)

func main() {
    bm, err := metric.NewBase().Decode("CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H") //CVE-2020-1472: ZeroLogon
    if err != nil {
        fmt.Fprintln(os.Stderr, err)
        return
    }
    fmt.Printf("Severity: %v (%v)\n", bm.Severity(), bm.Score())
    // Output:
    // Severity: Critical (10)
}

metric.NewBase() の部分を metric.NewTemporal() に変えれば Temporal Metrics として処理できる。

func main() {
    tm, err := metric.NewTemporal().Decode("CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:F/RL:W/RC:R") //CVE-2020-1472: ZeroLogon
    if err != nil {
        fmt.Fprintln(os.Stderr, err)
        return
    }
    fmt.Printf("Base Severity: %v (%v)\n", tm.BaseMetrics().Severity(), tm.BaseMetrics().Score())
    fmt.Printf("Temporal Severity: %v (%v)\n", tm.Severity(), tm.Score())
    // Output:
    // Base Severity: Critical (10)
    // Temporal Severity: Critical (9.1)
}

評価の内容をテンプレートを使って吐き出す処理は別のサブパッケージに分離した（上の PR くれた方はこの機能を全く使ってないみたいなので）。

たとえば

var template = `| {{ .BaseMetrics }} | {{ .BaseMetricValue }} |
|--------|-------|
| {{ .AVName }} | {{ .AVValue }} |
| {{ .ACName }} | {{ .ACValue }} |
| {{ .PRName }} | {{ .PRValue }} |
| {{ .UIName }} | {{ .UIValue }} |
| {{ .SName }} | {{ .SValue }} |
| {{ .CName }} | {{ .CValue }} |
| {{ .IName }} | {{ .IValue }} |
| {{ .AName }} | {{ .AValue }} |
`

みたいに markdown の表形式でテンプレートを作って

package main

import (
	"flag"
	"fmt"
	"io"
	"os"

	"github.com/spiegel-im-spiegel/go-cvss/v3/metric"
	"github.com/spiegel-im-spiegel/go-cvss/v3/report"
	"golang.org/x/text/language"
)

var template = `
...
`

func main() {
	bm, err := metric.NewBase().Decode("CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H") //CVE-2020-1472: ZeroLogon
	if err != nil {
        fmt.Fprintln(os.Stderr, err)
		return
	}
	r, err := report.NewBase(bm, report.WithOptionsLanguage(language.Japanese)).ExportWithString(template)
	if err != nil {
        fmt.Fprintln(os.Stderr, err)
		return
	}
	if _, err := io.Copy(os.Stdout, r); err != nil {
        fmt.Fprintln(os.Stderr, err)
	}
}

てな感じに書けば

$ go run main.go
| 基本評価基準 | 評価値 |
|--------|-------|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更あり |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |

のように出力してくれる（ちなみに英語と日本語にしか対応してませんw）。

さて。 Environmental Metrics に対応するかどうか。やるなら今のうちなんだよなぁ…

ブックマーク

CVSS v3.1

2020-01-26T08:20:03+00:00

前回の記事を書いてて気がついたのだが CVSSv3 のバージョンが 3.1 に上がってるぢゃん。

たとえば CVE-2020-0601 の CVSS ベクタは

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

の2つが用意されている。

調べてみたら 3.1 って2019年6月にリリースされてたんだねぇ。半年以上前の話だよ。感度低いなぁ，私 orz

3.0 と 3.1 の仕様は以下のリンクから見れる。

差分情報がないのでひっじょーに分かりにくいのだが¹，各評価基準の項目と値に変更はなく，スコア算出式のみ変更になっているようだ。しかも変更されているのは環境評価基準（Environmental Metrics）だけのようなので，私達がよく見る基本評価基準（Base Metrics）は変更なしと見てよさそうだ。

なので上述の CVSS ベクタのスコアはいずれも 8.1 で深刻度（Severity Rating）も「重要（High）」となる。

実は Go 言語で CVSS のパッケージを作って公開しているのだが

spiegel-im-spiegel/go-cvss: Common Vulnerability Scoring System (CVSS) Version 3

基本評価基準しか実装してないんで大っぴらにしていない。仕事で使いそうなら続きを作り込もうかと思っていたのだが，職業エンジニア自体が無期休業中だからねぇ（笑）

なお spiegel-im-spiegel/go-cvss については，一応 v3.1 のベクタも受け入れるようにした。

ブックマーク

共通脆弱性評価システムCVSS概説：IPA 独立行政法人情報処理推進機構 : v3.1 に対応しているようだ
- 共通脆弱性評価システムCVSS v3概説：IPA 独立行政法人情報処理推進機構 : v3.1 に対応していないように見えるのだが…
CVSS（共通脆弱性評価システム）3.0から3.1への変更点：OpenSCAPで脆弱性対策はどう変わる？（7） - ＠IT
JVN が CVSSv3 による脆弱性評価を開始

少なくとも技術文書をワープロで書くのは止めてほしいのだが。最終出力は PDF でも構わないが（PDF で出力するなら PDF/A で）， Markdown でも AsciiDoc でも Org-mode でもいいから，入力はプレイン・テキストで管理して欲しい。したら簡単に差分が取れるでしょ。 ↩︎

脆弱性情報の収集・管理ツール jvnman v0.2.0 をリリース，他

2018-05-15T12:53:54+00:00

脆弱性情報の収集・管理ツール jvnman の v0.2.0 をリリースした。また jvnman に関連するパッケージもリリースした。

spiegel-im-spiegel/go-cvss は spiegel-im-spiegel/go-myjvn 内のサブパッケージを独立させたもので今回が初リリース。これでようやく CVSS をまともにハンドリングできるようになった。

たとえば JVNDB-2018-003148 に関する情報がほしければ

$ jvnman info JVNDB-2018-003148

とすれば標準出力に

# Mercurial におけるアクセス制御に関する脆弱性

脆弱性対策情報ID: [JVNDB-2018-003148](https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-003148.html)

Mercurial には、アクセス制御に関する脆弱性が存在します。

## 想定される影響

情報を取得される、および情報を改ざんされる可能性があります。

### 影響を受ける製品

- Debian / Debian GNU/Linux 
- Mercurial / Mercurial 4.5 およびそれ以前


### 深刻度

緊急: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N（9.1）

| 基本評価基準 | 評価値 |
|--------|-------|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | なし |


## 対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

## 関連情報

- Common Vulnerabilities and Exposures (CVE) [CVE-2018-1000132](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000132) 
- Debian [[SECURITY] [DLA 1331-1] mercurial security update](https://lists.debian.org/debian-lts-announce/2018/03/msg00034.html) 
- JVNDB [CWE-284](https://cwe.mitre.org/data/definitions/284.html) 不適切なアクセス制御
- National Vulnerability Database (NVD) [CVE-2018-1000132](https://nvd.nist.gov/vuln/detail/CVE-2018-1000132) 
- Release Note [Mercurial 4.5.1 / 4.5.2 (2018-03-06)](https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.5.1_.2F_4.5.2_.282018-03-06.29) 


## 更新情報

- 発見日 2018年3月6日
- 公開日 2018年5月15日
- 最終更新日 2018年5月15日

(Powerd by [JVN](https://jvn.jp/))

と出力される。 CVSS のベクタもちゃんと表に展開されるぞ。

よーし，うむうむ，よーし。

とりあえず，これで欲しい情報は取れるようになったので，あとはのんびりテストをするか。つか， gpgpdump のほうも作業を進めないといけないのだが…

go-myjvn パッケージ v0.2.0 をリリースした

2018-04-08T09:20:56+00:00

JVN が提供する MyJVN API のラッパークラス spiegel-im-spiegel/go-myjvn の v0.2.0 をリリースした。

Release v0.2.0 · spiegel-im-spiegel/go-myjvn

オプション周りを少しいじった。「脆弱性対策概要情報一覧の取得」の発見日，発行日，更新日の各条件をそれぞれ独立で指定できるようにした。どうも発見日，発行日，更新日の各条件は論理積で有効になるみたいなので（つか，各オプションは全て論理積で有効になるようだ）。

あと CVSSv3 用のサブ・パッケージを作った。とりあえず Base Metrics のみ。こんな感じで使える。

import (
    "fmt"

    "github.com/spiegel-im-spiegel/go-myjvn/cvssv3/base"
)

m, err := base.Decode("CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N") //CVE-2015-8252
if err != nil {
    return
}
fmt.Println("Score =", m.Score())
fmt.Println("Severity =", m.GetSeverity())
v, err := m.Encode()
if err != nil {
    return
}
fmt.Println("CVSS Vector =", v)
//Output
//Score = 7.5
//Severity = High
//CVSS Vector = CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

残りの評価はおいおい。

ブックマーク

MyJVN API に関する覚え書き

MyJVN API に関する覚え書き

2018-03-12T13:47:09+00:00

MyJVN API は JVN が提供している「脆弱性対策情報共有フレームワーク」のひとつである。 MyJVN API ではメインサービスである RESTful API のほか， Twitter での情報配信も行っている。

@JVNiPedia : 脆弱性情報
@MyJVN : バージョン更新情報

今回は RESTful API に絞り，覚え書きとして残しておく（随時加筆予定）。なお「脆弱性対策情報共有フレームワーク」では MyJVN API と併せて以下のツールも提供している（どれも機能がイマイチなのが…）。

MyJVN バージョンチェッカ（Windows 専用）
- Java JRE 版 ¹
  - CLI 版
- .NET 版 : GUI 版と CUI 版がある
MyJVN 脆弱性対策情報収集ツール
- MyJVN 脆弱性対策情報フィルタリング収集ツール（要 Adobe AIR）

MyJVN API のライセンス

MyJVN API 自体の利用については以下に記載がある。

MyJVN - API: 利用上の留意事項

これを見れば分かるが， MyJVN API の利用には制限がありオープンでもフリーでもない点は注意が必要である。

また JVN が提供しているデータにはデータベースの著作権が発生する筈だが，データの利用許諾範囲が明示されていないため，このままでは（著作権法上は）利用できない²。データの取り扱いについて一定のリスクがある点も注意すべきだろう。

MyJVN API のバージョンアップ

MyJVN API は 2018-02-21 にバージョンアップしたが，これに伴い旧バージョンの API のほうは 2018-04-02 から使えなくなる。

2018年2月20日以前の旧サービス（MyJVN API, MyJVNバージョンチェッカ等）は、2018年4月2日（月）以降は継続したサービス利用ができなくなります。旧サービスを継続して利用する場合には以下の案内を参考にして、MyJVN APIを使用する利用者プログラムを改修する、あるいは新ツールの再ダウンロードによる利用、などの対処を実施してください。

SSL暗号化通信への対応に伴う注意事項（MyJVN API、MyJVNバージョンチェッカ等の仕様変更について）より

RESTful API についてはスキーマが HTTP から HTTPS へ変更となり，場合によってはバージョン名（HND/ITM）を付加する必要がある。

深刻度（severity）の評価に注意すること。旧バージョンでは CVSSv2 ベースだったが，新バージョンでは CVSSv3 ベースになっている。両者は以下のように異なっている。

深刻度	CVSSv2 Base スコア
危険	7.0 - 10.0
警告	4.0 - 6.9
注意	0.0 - 3.9

深刻度	CVSSv3 Base スコア
緊急（Critical）	9.0 - 10.0
重要（High）	7.0 - 8.9
警告（Medium）	4.0 - 6.9
注意（Low）	0.1 - 3.9
なし（None）	0

以降から個々の API について概説する。

脆弱性対策概要情報一覧の取得

getVulnOverviewList (ver. HND)

cURL as DSL

とりあえず必須オプションのみ³。過去1週間の情報を取得する。

curl -G -d "method=getVulnOverviewList" -d "feed=hnd" https://jvndb.jvn.jp/myjvn

必須オプション

必須オプションは以下の通り

オプション名	値
`method`	`getVulnOverviewList`
`feed`	`hnd`

取得のハンドリング

脆弱性対策概要情報一覧は一度に50件までしか取得できない。取得可能件数が50件以上ある場合はオプションで「n件目から取得」と指定すればよい。

オプション名	内容	既定値
`startItem`	取得可能なエントリの取得開始位置	1
`maxCountItem`	一度に取得できるエントリ数	50 (max 50)

取得可能件数は，返却された XML データの <status:Status> 要素に記述されている。

ベンダおよび製品情報によるフィルタリング

ベンダおよび製品情報によるフィルタリングは以下の通り。

オプション名	内容	既定値
`cpeName`	CPE製品名。ワイルドカード使用可。複数指定可（`+` で区切る）	なし
`vendorId`	ベンダID。複数指定可（`+` で区切る）	なし
`productId`	製品ID。複数指定可（`+` で区切る）	なし

cpeName, vendorId, productId はいずれかひとつのみ指定可能。

もっと大雑把にキーワードを指定してフィルタリングすることもできる。

オプション名	内容	既定値
`keyword`	脆弱性概要情報の部分一致。ワイルドカード使用不可。大文字小文字の区別なし。 UTF-8	なし

CVSS 評価値によるフィルタリング

オプション名	内容	既定値
`severity`	CVSS 深刻度（`n/l/m/h/c`）	なし
`vector`	CVSS 基本評価基準。ベクタ値（`CVSS:3.0/...`）で指定	なし

CVSS は Version 3 のみ対応のようだ。

期間指定によるフィルタリング

期間指定によるフィルタリングは発見日・発行日・更新日に対応している。

まずは発見日によるフィルタリング。

オプション名	内容	既定値
`rangeDatePublic`	発見日の範囲（n/w/m）	`w`
`datePublicStartY`	発見日開始年（整数4桁）	なし
`datePublicStartM`	発見日開始月（整数 1-12）	なし
`datePublicStartD`	発見日開始日（整数1-31）	なし
`datePublicEndY`	発見日終了年（整数4桁）	なし
`datePublicEndM`	発見日終了月（整数 1-12）	なし
`datePublicEndD`	発見日終了日（整数 1-31）	なし

rangeDatePublic で w を指定すると当日を含む直近一週間を， m を指定すると直近１ヶ月の情報を取得する。期間を指定する場合は rangeDatePublic に n を指定して開始および終了条件をセットする。開始および終了条件は年・年月・年月日で指定できる。

更新日によるフィルタリングは以下の通り。

オプション名	内容	既定値
`rangeDatePublished`	更新日の範囲（n/w/m）	`w`
`datePublishedStartY`	更新日開始年（整数4桁）	なし
`datePublishedStartM`	更新日開始月（整数 1-12）	なし
`datePublishedStartD`	更新日開始日（整数 1-31）	なし
`datePublishedEndY`	更新日終了年（整数4桁）	なし
`datePublishedEndM`	更新日終了月（整数 1-12）	なし
`datePublishedEndD`	更新日終了日（整数 1-31）	なし

指定の仕方は発見日と同じ要領でできる。

発行日によるフィルタリングは以下の通り。

オプション名	内容	既定値
`rangeDateFirstPublished`	発行日の範囲（n/w/m）	`w`
`dateFirstPublishedStartY`	発行日開始年（整数4桁）	なし
`dateFirstPublishedStartM`	発行日開始月（整数 1-12）	なし
`dateFirstPublishedStartD`	発行日開始日（整数 1-31）	なし
`dateFirstPublishedEndY`	発行日終了年（整数4桁）	なし
`dateFirstPublishedEndM`	発行日終了月（整数 1-12）	なし
`dateFirstPublishedEndD`	発行日終了日（整数 1-31）	なし

指定の仕方は発見日と同じ要領でできる。

表示言語の指定

表示言語は日本語と英語のみ対応している。

オプション名	内容	既定値
`lang`	表示言語（`ja/en`）	`ja`

返却地

返却データのフォーマットは XML で RSS 1.0 形式。ただし mod_sec と呼ばれる JVN 独自のスキーマを含んでいて，通常のフィード情報の他に脆弱性情報の記述もある。なお，詳細を取得したいのであれば次節の getVulnDetailInfo を使うほうがよい。

XML の大まかな構成は以下の通り。

<rdf:RDF>
  <channel>
    ....
  </channel>
  <item>
    <title>...</title>
    <link>>https://jvndb.jvn.jp/...</link>
    <description>...</description>
    <sec:identifier>JVNDB-2018-XXXXXX</sec:identifier>
    <sec:references source="JVN" id="JVN#XXXXXXXX">https://jvn.jp/jp/JVNXXXXXXXX/index.html</sec:references>
    <sec:references source="CVE" id="CVE-2018-XXXXX">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-XXXXX</sec:references>
    <sec:references id="CWE-XX" title="...">https://cwe.mitre.org/data/definitions/XX.html</sec:references>
    <sec:references>...</sec:references>
    <sec:cpe version="2.2" vendor="...." product="....">cpe:/.....</sec:cpe>
    <sec:cpe>...</sec:cpe>
    <sec:cvss score="8.8" severity="High" vector="CVSS:3.0/..." version="3.0" type="Base"/>
    <sec:cvss score="5.8" severity="Medium" vector="..." version="2.0" type="Base"/>
    <dc:date>2006-01-02T15:04:05+09:00</dc:date>
    <dcterms:issued>2006-01-02T15:04:05+09:00</dcterms:issued>
    <dcterms:modified>2006-01-02T15:04:05+09:00</dcterms:modified>
  </item>
  <item>
    ....
  </item>
  <status:Status version="3.3" method="getVulnOverviewList" lang="ja" retCd="0" retMax="X" errCd="" errMsg="" totalRes="X" totalResRet="X" firstRes="X" feed="hnd" ... />
</rdf:RDF>

<status:Status> 要素には API 処理時のステータスが返る。正常終了であれば retCd に 0 がセットされる。また取得可能件数は totalRes 属性にセットされる。

脆弱性対策詳細情報の取得

getVulnDetailInfo (ver. HND)

cURL as DSL

とりあえず必須オプションのみ。以下は JVNDB-2018-000024 の情報を取得する場合。

curl -G -d "method=getVulnDetailInfo" -d "feed=hnd" -d "vulnId=JVNDB-2018-000024" https://jvndb.jvn.jp/myjvn

必須オプション

必須オプションは以下の通り

オプション名	値
`method`	`getVulnDetailInfo`
`feed`	`hnd`
`vulnId`	脆弱性対策情報ID 。複数指定可（`+` で区切る）

取得のハンドリング

脆弱性対策詳細情報は一度に10件までしか取得できない。取得可能件数が10件以上ある場合はオプションで「n件目から取得」と指定すればよい。

オプション名	内容	既定値
`startItem`	取得可能なエントリの取得開始位置	1
`maxCountItem`	一度に取得できるエントリ数	50 (max 50)

ただし取得可能件数は vulnId オプションでコントロールできるため，あまり意味のあるオプションではないだろう。

表示言語の指定

表示言語は日本語と英語のみ対応している。

オプション名	内容	既定値
`lang`	表示言語（`ja/en`）	`ja`

返却地

返却データのフォーマットは XML で VULDEF と呼ばれる JVN 独自のスキーマを使っている。 HTML ページ（たとえば JVNDB-2018-000024）に記載されている内容はほぼ網羅されているため HTML ページをわざわざ scraping する必要はない。

XML の大まかな構成は以下の通り。

<VULDEF-Document>
  <Vulinfo>
    <VulinfoID>JVNDB-2018-XXXXXXX</VulinfoID>
    <VulinfoData>
      <Title>...</Title>
      <VulinfoDescription>
        <Overview>...</Overview>
      </VulinfoDescription>
      <Affected>
        <AffectedItem>
          <Name>...</Name>
          <ProductName>...</ProductName>
          <Cpe version="2.2">...</Cpe>
          <VersionNumber>...</VersionNumber>
        </AffectedItem>
        <AffectedItem>
          ...
        </AffectedItem>
      </Affected>
      <Impact>
        <Cvss version="2.0">
          <Severity type="Base">...</Severity>
          <Base>X.X</Base>
          <Vector>...</Vector>
        </Cvss>
        <Cvss version="3.0">
          <Severity type="Base">...</Severity>
          <Base>X.X</Base>
          <Vector>CVSS:3.0/...</Vector>
        </Cvss>
        <ImpactItem>
          <Description>...</Description>
        </ImpactItem>
      </Impact>
      <Solution>
        <SolutionItem>
          <Description>...</Description>
        </SolutionItem>
        <SolutionItem>
          ...
        </SolutionItem>
      </Solution>
      <Related>
        <RelatedItem type="...">
          <Name>...</Name>
          <VulinfoID>...</VulinfoID>
          <Title>...</Title>
          <URL>...</URL>
        </RelatedItem>
        <RelatedItem type="...">
          ...
        </RelatedItem>
      </Related>
      <History>
        <HistoryItem>
          <HistoryNo>1</HistoryNo>
          <DateTime>2006-01-02T15:04:05+09:00</DateTime>
          <Description>...</Description>
        </HistoryItem>
        <HistoryItem>
          ...
        </HistoryItem>
      </History>
      <DateFirstPublished>2006-01-02T15:04:05+09:00</DateFirstPublished>
      <DateLastUpdated>2006-01-02T15:04:05+09:00</DateLastUpdated>
      <DatePublic>2006-01-02T15:04:05+09:00</DatePublic>
    </VulinfoData>
  </Vulinfo>
  <Vulinfo>
    ....
  </Vulinfo>
  <sec:handling>
    <marking:Marking>
      <marking:Marking_Structure ... />
    </marking:Marking>
  </sec:handling>
  <status:Status version="3.3" method="getVulnDetailInfo" lang="ja" retCd="0" retMax="X" errCd="" errMsg="" totalRes="X" totalResRet="X" firstRes="X" feed="hnd" vulnId="..." ... />
</VULDEF-Document>

ブックマーク

Java JRE には Windows アカウント名に全角文字を含む場合にエラーになる不具合があるらしい。 JRE 実装に起因するものなので JRE 側で修正されない限り対応できないようだ。 Windows 専用ツールでわざわざ Java を使うメリットはないので .NET 版を使うことを強くお勧めする。 ↩︎
念のために説明しておくと著作権では著作物の「使用」と「利用」を区別し「利用」について制限をかける（「使用」については著作権は関知しない）。著作物の利用とは，大まかに 複製（フォーマット変換・機械翻訳を含む）・公開（上演や展示など）・配布（共有）・翻案（改変） を指す。 MyJVN API で取得したデータの利用については別途許諾を得る必要がある？ ↩︎
-G オプションは GET プロトコルを指す。明示するなら -X GET とするのがいいかも。 ↩︎

JVN が CVSSv3 による脆弱性評価を開始

2015-12-02T10:18:01+00:00

JVN が CVSSv3 による脆弱性評価を開始

当面（2017年度末まで）は CVSSv2 と CVSSv3 の併記で運用するらしい。

たとえば

JVNVU#97647301: RSI Video Technologies の Videofied Frontel がセキュアでない独自プロトコルを使用する問題

では

CVSSv2 基本評価値 5.0 (AV:N/AC:L/Au:N/C:P/I:N/A:N)

基本評価基準	評価値
攻撃元区分（AV）	ネットワーク（N）
攻撃条件の複雑さ（AC）	低 (L)
攻撃前の認証要否（Au）	不要（N）
情報漏えいの可能性（機密性への影響, C）	部分的（P）
情報改ざんの可能性（完全性への影響, I）	なし（N）
業務停止の可能性（可用性への影響, A）	なし（N）

CVSSv3 基本評価値 7.5 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

基本評価基準	評価値
攻撃元区分（AV）	ネットワーク（N）
攻撃条件の複雑さ（AC）	低 (L)
必要な特権レベル（PR）	不要（N）
ユーザ関与レベル（UI）	不要（N）
スコープ（S）	変更なし (U)
情報漏えいの可能性（機密性への影響, C）	高（H）
情報改ざんの可能性（完全性への影響, I）	なし（N）
業務停止の可能性（可用性への影響, A）	なし（N）

という感じで CVSSv2 と CVSSv3 では評価の観点も最終的な評価点も異なることがわかると思う¹。

余談だが CERT/CC では

Vulnerability Note VU#792004 - RSI Video Technologies Videofied security system Frontel software uses an insecure custom protocol

CVSSv2 基本評価値 9.4 (AV:N/AC:L/Au:N/C:C/I:C/A:N)

基本評価基準	評価値
攻撃元区分（AV）	ネットワーク（N）
攻撃条件の複雑さ（AC）	低 (L)
攻撃前の認証要否（Au）	不要（N）
情報漏えいの可能性（機密性への影響, C）	全面的（C）
情報改ざんの可能性（完全性への影響, I）	全面的（C）
業務停止の可能性（可用性への影響, A）	なし（N）

と完全性への影響が高いと評価している²。

CVSSv3 の変更点

CVSSv2 から CVSSv3 への変更点は以下の通り。（なおこれは，以前書いた「CVSS に関するメモ 3」の再掲載である）

バージョン2からの大きな違いは深刻度をコンポーネント単位で評価できるようになったことだろう。以前は攻撃対象となるシステムやホストマシンが対象だったので，更に細かい評価ができるようになったと言える。

これに合わせて「スコープ（Scope）」という評価軸が追加された。厳密には「管理権限の範囲（Authorization Scope）」。脆弱性のあるコンポーネントが他のコンポーネントに影響をおよぼす場合に，「他のコンポーネント」が管理権限の範囲の内側か外側かで深刻度が異なる。脆弱性が管理権限の範囲の外側に影響を及ぼす具体例としてはクロスサイトスクリプティング（XSS）脆弱性などが挙げられるだろう。

基本評価基準（Base Metrics）で新たに追加された評価項目としては

必要な特権レベル（Privileges Required）
ユーザ関与レベル（User Interaction）
スコープ（Scope）

がある。一方，バージョン2にあった「攻撃前の認証要否（Authentication）」項目は廃止され，「必要な特権レベル」に含まれる形になった。

一番大きく変わったのは環境評価基準（Environmental Metrics）だろう。環境評価基準では対策後の状況を再評価し，評価が低いものについては再度対策を行えるようになっている。 CVSS を使ってセキュリティ対策のプロセスをきちんと回せるようになったわけだ。

再評価の観点は以下のとおり。

緩和策後の攻撃元区分（Modified Attack Vector）
緩和策後の攻撃条件の複雑さ（Modified Attack Complexity）
緩和策後の必要な特権レベル（Modified Privileges Required）
緩和策後のユーザ関与レベル（Modified User Interaction）
緩和策後のスコープ（Modified Scope）
緩和策後の機密性への影響（Modified Confidentiality Impact）
緩和策後の完全性への影響（Modified Integrity Impact）
緩和策後の可用性への影響（Modified Availability Impact）

つか基本評価基準（Base Metrics）の評価観点で再評価するって感じかな。

最近の「セキュリティ対策」がこれまでと異なっているのは，目の前の脆弱性に対処すれば「完了」とはならない点である。（私は今までもずうっと言ってきているけど）セキュリティは「ハザード（hazard）」ではなく「リスク（risk）」で考えなければならない。リスクをゼロにするには無限のリソース（人的資源やもっと端的にお金）が必要だが，私たちの持っているリソースは無限ではない。つまりリスクをゼロにすることはできないのだ。したがって，業務プロセスの中で改善を行いながら，最適解を探っていくしかない。

「セキュリティ対策」をコストと考えるなら果てしなく不毛な話であるが，「セキュリティ対策」を投資と考え，きちんと PDCA サイクルを回していくならば，それほど不毛ではないはずである。

List of Cvss [text.Baldanders.info]

go-cvss パッケージ v1.5.0 をリリースした

2022-01-31 追記

ブックマーク

参考図書

go-cvss パッケージ v1.4.2 をリリースした

【2022-01-29 追記】 v1.4.4 をリリースした

ブックマーク

参考図書

go-cvss パッケージ正式版 v1.0.0 をリリースした

ブックマーク

えんやらやっと go-cvss パッケージ v0.4.0 をリリースした

ブックマーク

CVSS v3.1

ブックマーク

脆弱性情報の収集・管理ツール jvnman v0.2.0 をリリース，他

go-myjvn パッケージ v0.2.0 をリリースした

ブックマーク

MyJVN API に関する覚え書き

MyJVN API のライセンス

MyJVN API のバージョンアップ

脆弱性対策概要情報一覧の取得

cURL as DSL

必須オプション

取得のハンドリング

ベンダおよび製品情報によるフィルタリング

CVSS 評価値によるフィルタリング

期間指定によるフィルタリング

表示言語の指定

返却地

脆弱性対策詳細情報の取得

cURL as DSL

必須オプション

取得のハンドリング

表示言語の指定

返却地

ブックマーク

JVN が CVSSv3 による脆弱性評価を開始

JVN が CVSSv3 による脆弱性評価を開始

CVSSv3 の変更点

関連リンク