Security Advisoryの見方・使い方

Security Advisoryの見方・使い方

福田拓朗

プライム・ストラテジーの福田です。当社が2025年2月に公開した、Security Advisoryについてご紹介します。

そもそもSecurity Advisoryとは?

Security Advisoryとは、当社が提供するKUSANAGIやWEXAL® Page Speed Technology®等で使われているモジュールに対して脆弱性があり、アップデートで修正された際に、KUSANAGI公式サイトで公開する情報です。

なぜSecurity Advisoryを公開するのか?

今まではリリース情報を確認し、その中にCVE情報が含まれているかどうかのチェックをしなければならなかったところが、一目で急ぎを要するアップデートなのかどうかがわかるようになりました。

これにより、運用の負担の軽減が期待できます。

どのようにこれを読むのか?

Security AdvisoryはKUSANAGI公式サイト (https://kusanagi.tokyo/releases/tag/security-advisory/) から確認できます。

また、RSS (https://kusanagi.tokyo/releases/tag/security-advisory/feed/) も配信しているので自動化などにも活用いただけます。

Security Advisoryのページは以下のような構成になっています。

まずは概要を見ます。

公開日時

これは、このSecurity Advisoryを公開した日時を意味しています。

深刻度

その次に深刻度です。深刻度の高い順に「緊急」「重要」「警告」「注意」、あるいは「評価待ち」が入ります。

「緊急」は比較的容易に遠隔操作ができる脆弱性等が含まれます。これが「注意」であれば攻撃が成立する要件は厳しい場合、あるいは比較的ダメージの少ない脆弱性が含まれることとなります。「評価待ち」というのは、まだSecurity Advisoryが出た段階で深刻度の評価が定まっていない場合に表示されます。

この深刻度の表記により、脆弱性の深刻度とアップデートの手間を総合的に考慮することができます。

モジュール

モジュール、これは影響を受けるパッケージ(モジュール)の名前を意味しています。

例えば、ここで示しているものだとkusanagi-nginx126が影響を受けていると書かれていますね。この場合はKUSANAGIのNginxの1.26に脆弱性があるということです。

対象

ここにはKUSANAGIのどのバージョン・どのエディションが影響を受けるのかが記載されています。Business Editionなどが併記されることもあります。

これにより、運用しているサーバが対象かを確認することができます。

そのほか

脆弱性情報やCVE詳細、アップデートしたパッケージなどが書かれていますが、ここには

  • どのような脆弱性があるか(基本的には英語の原文をそのまま提供します)
  • CVE番号などの技術的情報へのリンク
  • 関連するKUSANAGIのアップデート情報へのリンク

が書かれています。

  • サーバの最終アップデートがSecurity Advisoryの公開日時より前
  • 該当のモジュールやエディションを利用している

場合がアップデートの対象です。

Security Advisoryに対し、どのように対応するべきなのか?

Security Advisoryに対しては、サーバのパッケージのアップデートを行うことで対応が可能となります。

KUSANAGI Security Editionでは、自動アップデートを提供しています。そのため、リリース後一定の条件を満たしたのち、自動で対策が行われます。詳細につきましては「OS・ミドルウェアの自動アップデートとは」もご確認ください。

さて、今回示した例の場合、公開当時の基準では「評価待ち」となっていますが、実際に詳細の欄からリンクをクリックし、さらに飛んだ先のページにあるF5ネットワークスにて報告されている内容を参照すると、

This vulnerability arises when TLS session tickets are used and/or the SSL session cache is used in the default virtual server and the default virtual server is performing client certificate authentication.

と記載されています。KUSANAGIでは、default virtual serverは利用せず、プロファイルごとにFQDNを持たせる仕様となっています。そのため、今回の脆弱性に該当するケースは比較的まれと考えられます。

また、深刻度が”Medium” つまりは警告として分類されていることがわかります。

総合的に考慮すると、「緊急」や「重要」ほど対応優先度が高いとは言えません。とはいえ、脆弱性は脆弱性。今回のSecurity Advisoryを受けていえることは、一つ。KUSANAGI 9でkusanagi-nginx126を利用しているならば、速やかなアップデートが推奨されます。

より安心・安全に利用できるようになったKUSANANGIをぜひご利用ください。

<< OS・ミドルウェアの自動アップデートとは

関連記事

Webサイト運用の課題解決事例100選 プレゼント

Webサイト運用の課題を弊社プロダクトで解決したお客様にインタビュー取材を行い、100の事例を108ページに及ぶ事例集としてまとめました。

・100事例のWebサイト運用の課題と解決手法、解決後の直接、間接的効果がわかる

・情報通信、 IT、金融、メディア、官公庁、学校などの業種ごとに事例を確認できる

・特集では1社の事例を3ページに渡り背景からシステム構成まで詳解