脆弱性に関する識別子や略語およびそれらの関係

JPCERT/CCやUS-CERTやベンダーのサイトで脆弱性に関する情報を読んでいると様々な識別子や略語が登場します。ここではそれらの識別子や略語に関して説明します。

 

マイクロソフトのKB番号とMS番号

マイクロソフトがリリースするセキュリティ情報やパッチ情報にKB2992611やMS14-066のような番号が付いたものを見つけることができます。KBとはMicrosoft Knowledge Baseの事でマイクロソフトのサポート技術情報に対して番号を振ったものを言います。MSの方はセキュリティ更新プログラムに紐づいています。MS14-066の14は2014年にリリースされたセキュリティ更新プログラムであることを意味しており、066はその年に66番目にリリースされた事を意味しています。

 

AdobeのAPSB

AdobeにもマイクロソフトのようにアップデートにはAPSBという番号が割り振られています。APSBはAdobe Security Bulletinの略ですが、Pが何を指しているのかは不明ですが、多分Adobe Product Security Bulletinではないでしょうか?APSBもマイクロソフトのMS番号と似ており、APSB14-28のような形式となっています。

 

JVNの脆弱性識別番号

JVNとはJapan Vulnerability Notesの略でJPCERT/CCとIPAが運用している日本での脆弱性管理の仕組みです。JVNの脆弱性識別番号には3つの種類があります。

  • JVN#: 情報セキュリティ早期警戒パートナーシップに基づいて、調整・公表される脆弱性情報。
  • JVNVU#: 海外調整機関や海外製品開発者との連携によって公表される脆弱性情報。
  • JVNTA#: 調整の有無に関わらず必要に応じて公表される脆弱性情報。

 

US-CERT Technical Cyber Security Alert

US-CERTがリリースしているセキュリティ情報で、TA14-318Aのような識別子が付けられています。TAの次の数字は年を表しており、その次の318は1月1日から数えて318日目にりリリースされた情報であることを指しています。その次のアルファベットは、その日に最初にリリースされた情報はA、その日に別の情報がリリースされるとB、C、Dのように割り当てます。

 

CVE識別番号

CVEとはCommon Vulnerability and Exposuresの略で、日本語では共通脆弱性識別番号と言います。CVEはMITREという非営利団体が管理しており、US-CERTやベンダーなどと連携して脆弱性情報を収集管理し、その脆弱性に対してCVE識別番号を付与して公開しています。CVEは「CVE-2014-6321」のように年と連番によって採番されています。

 

CVE識別番号、JVNのIDおよびベンダーのパッチ番号の関連

それでは、それぞれの脆弱性情報の関連性を見てみましょう。例えば、MicrosoftのSchannelに関する脆弱性の場合、その脆弱性のCVE識別子はCVE-2014-6321となります。その情報を基にJVNが日本用に情報を公開したものがJVNVU#99732679となります。またその脆弱性に基づいてリリースしたセキュリティ更新プログラム(セキュリティパッチ)がMS14-066という事になります。

脆弱性情報 CVE識別番号 JVNのID ベンダーの対応するパッチ情報
MicrosoftのSchannelにおける任意のコードを実行される脆弱性 CVE-2014-6321 JVNVU#99732679 MS14-066

 

 

Comments are closed.

Post Navigation