突然ですが君たちの脆弱性調査は間違っています | Vuls Blog皆様こんにちは。ウィスキーとサウナと四谷たけださんの牡蠣バター焼きをこよなく愛するVulsの神戸です。 突然ですが君たちの脆弱性調査は間違っている(かも)普段こんな手順で脆弱性調査をしていませんか。 JVNやNVD, JPCERT/CCなどで脆弱性情報を収集している 危険な脆弱性が公開されたら社内に周知して運用者に影響調査を指示する 運用者はrpmやdpkgコマンドで該当ソフトウェアのバージョンを調べる NVD記載のバージョンと、コマンドで取得したバージョンを比較して判断する もしこの方法でやっているという方はバージョン比較の判断方法を間違えており、過去に調査済みの脆弱性がシステムに残存している可能性が高いので、ぜひ本記事をお読みください。 本記事では正しい調査方法と、Vuls内部で実現している検知処理について紹介します。 君はバックポートを知っているかバグのないソフトウェアは存在しません
