Vuls祭り #1（http://vuls-jp.connpass.com/event/38391/）の資料です。

1. Vulsで危険な脆弱性を最速検知！
The fastest detection of dangerous vulnerability by Vuls!
Takayuki Ushida

2. Who am I ?
• Takayuki Ushida
P-01
• VulsRepo https://github.com/usiusi360/vulsrepo
• Qiita http://qiita.com/usiusi360

3. 質問
Question
• 脆弱性の対応手段として
「プロダクション環境」でyum updateで全部のパッケージを毎
日アップデートしている人 ⇒ 挙手！
As for a method to deal with vulnerability, does anyone update all of the packages every day using the yum
update in the “ production environment ”? ⇒ Raise your hand!
P-03
コードフリーズしカットオーバーしたシステム環境で全部のパッ
ケージをアップデートするのは怖い
I am scared to update all of the packages in the system environment which has already cut over but code-freezed.
業務アプリが動かなくなったら・・・
全部再テスト・・・
検証どこまでやれば・・・
じゃあ、外部の脆弱性情報をウォッチして自システムに影響のある
ものだけアップデートしますか？
Do you check the vulnerability information about the updates of rpms having the impact on the system ?
• 現実問題として
As a practical matter

4. 脆弱性情報をウォッチしつづけるのはツライ
Painful to keep watching the vulnerability information
• CVE等の脆弱性情報は追加だけではない！過去の情報も頻繁
に更新されている。
The vulnerability information about CVE is not only added, but the past information has also been updated
frequently.
• 更新された内容に重大な内容(脆弱性レベル・対象)が含まれていても、話
題になりにくい。
Even if an important information is included in the updated contents, it does not become a hot topic.
• 全てのアップデート情報について自システムのインストール構
成と照らし合わせて影響があるか一つずつ確認するのはタイヘ
ン！チェック漏れがあったら一大事！！
For all updates, it’s a tough work to make sure the impact of the installation configuration for the local
system. If you leak a check, it will become a big deal.
P-01

5. サイトに書かれている情報が
常に正しいとは限らない
The information on the site is not necessarily correct.
• 脆弱性の影響範囲の情報が変更されてもNVD,JVN等に反映されるまでには、かな
りタイムラグがある。（情報がアップデートされるのに数ヶ月掛かる場合もある）
It requires a long time to reflect information about the vulnerability on NVD and JVN.
Information in some cases take several months to be updated.
• そもそもNVD,JVNに詳細が載らないものも結構ある。
（CVE-IDだけ払い出されていて、詳細はベンダーサイトへ）
There is much vulnerability whose details have not been published in the NVD and JVN.
P-01
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5320

6. 脆弱性対応は、時間との戦い！！
Deal for the vulnerability, we need to hurry.
• 脆弱性情報が公開されたということは、攻撃者にとっても脆弱性を突くため
のヒントが公開されたってこと。
The tips on how to attack the vulnerability is published mean that the hints for attackers has been open.
• 脆弱性が公開されたあと、それを標的にしたアタックが急増する。
After vulnerability is published, it will increase the number of attacks rapidly.
P-02
警察庁セキュリティポータルサイトより抜粋
http://www.npa.go.jp/cyberpolice/detect/pdf/20160427.pdf
～～～
発見・対処が遅れるほど、外
部から脆弱性を突かれるリス
クが高くなる
When the discovery and deal of vulnerability is
delayed, the posibilyty of risks attacked from the
outside will be higher.

7. P-01
Vulsは悩めるセキュリティ担当の救世主！！
Vuls is a savior of the beleaguered security personnel ! !

8. Vulsによる自動差分チェックを運用中に
実際に遭遇した事例
Actual case which is encountered at the automatic differential check operated by Vuls
• 2016/6/24（Fri）
– Vuls is detected the CVE-2016-1762 to the new
– CVSS Score： 10.0（HIGH） MAX !!
– ServerOS：CentOS6
– RPM Packeage：libxml2
P-01

9. CVE MITRE (The contents of 2016/6/24 time)
P-01

10. NVD (The contents of 2016/6/24 time)
P-01

11. JVN (The contents of 2016/6/24 time)
P-01

12. あれ？スキャンしたのは
「CentOS」なんですけど？
Why? We scan " CentOS " but?
P-01

13. P-01
なんでApple製品対象の
脆弱性を検知してんの？
Why dose it detect the vulnerability of an Apple product?
もしかしてVulsが誤検知？
Does it mean Vuls has made a mistake?

14. P-01
いやいや、Vuls先輩は正しく
検知してくれていました！
No, Vuls has detected the vulnerability correctly!

15. RHELのサイトを見ると・・・
View the site of RHEL and ...
P-01
スキャンした日の前日に
更新パッケージが出てる！！
At the day before of the scanning,
I came up with an update package ! !
https://access.redhat.com/security/cve/cve-2016-1762

16. P-01
確かにCVE-2016-1762に関する
更新がされてる！！
Certainly it has been updated on the
CVE-2016-1762! !
https://rhn.redhat.com/errata/RHSA-2016-1292.html

17. P-01
2016/9/5 74 days after
2016/7/27 34 days after
2016/6/23（Vuls Scan 6/24）
RedHat
Important: libxml2 security update
NVD
JVN
各サイトの更新状況
Update status of each site
CVE MITRE
2016/１/13 Assigned

18. P-01
何故、Vulsは検知できたのか？
Why is Vuls able to detect it?
Question

19. P-01
Answer
パッケージのchangelogからCVE-IDを拾い出しているから
Because it picks up CVE-ID from the changelog of the package.

20. P-01
・インストールされているものより新しいバージョンのあるパッケージについて全
部changelogをチェック
Check all the changelog of the packages with the newer version than the installed ones.
NVD、JVNに情報が載るよりも先に検知することも。
またNVD、JVNに詳細が載らなくても検知できる。
We can detect the information earlier than it is described in NVD and JVN.
We can also detect it even if the details are not written in NVD or JVN.
Vulsは擬似攻撃や自動アップデートは行わない。だから
環境に影響を与えることはない。安全にチェックできる。
Vuls does not perform a pseudo-attacks and automatic update. So, it does
not affect the environment. It can be checked at safety．

21. Vulsで素早く検知・対応するため
の運用方法
Operation method for quickly detecting and corresponding by
Vuls.
P-01

22. 通知に関する問題
Issues related to notification
• 最初はVulsで全件検知させて、対応の要不要を判断。
First of all, we detect all vulnerability by Vuls and determine the necessity whether we should cope
with the vulnerability.
• それ以降は差分通知がしたい！
After that, it notifies the differences of updated vulnerability information.
P-01
毎日スキャンし新しく検知した内容だけをウォッチするこ
とで、新しい情報を見逃さない！埋もれさせない！
If we scan the vulnerability information and pay attention to the newly detected contents, we can
not miss the new information !
Vulsはシステムに存在する脆弱性を毎回全件通知
毎回大量に通知が発生すると必要な情報が埋もれてしまう
Vuls notifies all vulnerability information for a system every time. If a large amount of notifications are
generated, the necessary information is buried in them.

23. P-01
• text形式のレポートをDiff
Diff the text format of the report
– Qiita：脆弱性検知ツールVulsで前日分との差分だけレポートする
(http://qiita.com/usiusi360/items/90bad397c16c07a9630b)
• json形式のレポートを元に監視システムへ連携
Cooperation the json format of reports to the monitoring system
– vuls scan&zabbixにsend [gist]
（https://gist.github.com/aomoriringo/2ec69042d8330dbce0ae6097288a6ce4）
– Zabbix上へ脆弱性（CVEID)の数を連携
• Zabbiｘ上でグラフ化
Graphed on Zabbix
• Zabbixのトリガー・アクション機能を使って、通知先を一元管理可能
Using the trigger action function of Zabbix, the notification destination centralized management possible
Vulsで差分があったときだけ通知
Notify only when there is a difference in Vuls

24. P-01
VulsRepoでVulsの結果をピボットテーブルのように様々な角度か
ら集計できる。
The results of the Vuls can be analyzed from a variety of view points as pivot tables in VulsRepo.
VulsRepoで結果を分析
Analyze the results of Vuls by VulsRepo

25. P-01
VulsRepoで結果を分析
Analyze the results of Vuls by VulsRepo
VulsRepoでは集計した結果をグラフにすることもできる。
The VulsRepo can display a graph aggregated by the results.

26. P-01
どのCVE-IDを新しく検知したのか？
脆弱性対応を行ったあと、ちゃんと脆弱性が無くなったか？
Which CVE-ID does Vuls detect newly?
After you have dealt with the vulnerability, does the vulnerability disappear properly?
スキャン時間とCveIDを軸にして
見ることで、何が変化したか
簡単に見つけ出すことが可能
If we investigate the vulnerability
information centered on the scan time
and CveID, we can easily find out what has
changed.
VulsRepoで結果を分析
Analyze the results of Vuls by VulsRepo

27. P-01
VulsRepoで結果を分析
Analyze the results of Vuls by VulsRepo
リンクをクリックするだけで外部
の情報サイトへ遷移
We can easily transit the outside
information site by clicking a link.

28. P-01
• VulsRepoを気に入った場合は
ぜひGitHub Starを！
Please to grant GitHub Star if you like the VulsRepo.
VulsRepoのオンラインデモ
Online demo of VulsRepo
GitHub
https://github.com/usiusi360/vulsrepo

29. P-01
まとめ
Summary
• Vulsとサイトの情報を併用して多角的に情報収集が必要。
We cannot swallow the site information. We need to collect the information from the
multiple views by Vuls.
• 検知した内容を埋もれさせない工夫が必要。
We need a method that the detected vulnerability information is not buried in the large
amount of data.
• VulsRepoで多角的に分析
We can analyze from the multiple view points by VulsRepo.

30. P-01
Thank you