米国MITRE、PostgreSQLをCVE採番機関(CNA)に認定

2024年1月24日 8時42分

PostgreSQLグローバルデベロップメントグループはこのほど、「PostgreSQL: PostgreSQL is now a CVE Numbering Authority (CNA)」において、PostgreSQLがCVE採番機関(CNA: CVE Numbering Authority)に認定されたと伝えた。これによりPostgreSQLは米国MITREとの合意の範囲内で独自に脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)のCVE識別番号(CVE-ID)を割り当てることが可能になる。

PostgreSQL: PostgreSQL is now a CVE Numbering Authority (CNA)

○「脆弱性情報データベース」とは

脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)は、米国MITREが管理運営する公知の脆弱性に関するデータベースのことを指す(参考：「CVE - CVE」)。一般に公開されているサイバーセキュリティの脆弱性を特定、定義、カタログ化することを目的としている。

データベースに登録される脆弱性情報には、必ず一意に識別するためのCVE識別番号が割り当てられる。このCVE識別番号は「CVE-4桁の西暦-連番」の形式が取られており、通常はセキュリティベンダや製品開発ベンダ、研究者などで構成される「CVE Editorial Board」と呼ばれる機関により割り当てられる。

○PostgreSQLの役割

PostgreSQLに与えられたCVE識別番号の割り当て範囲は、次のプロジェクトに関係するものとなる(参考：「PostgreSQL: Security Information」)。

PostgreSQL

PostgreSQL RPM packaging

PostgreSQL DEB packaging

PostgreSQL Windows/macOS installers (EDB)

pgJDBC

psqlODBC

pgAdmin

これらプロジェクトの脆弱性は、「cna@postgresql.org」にリスエストすることでCVE識別番号が割り当てられることになる。ただし、リクエストはプロジェクトのメンバーに限るとしており、それ以外の開発者や研究者が脆弱性を発見した場合は、上記プロジェクトのセキュリティチーム(security@postgresql.org)に連絡する必要がある。また、ユーザーが問題を発見した場合、それが脆弱性かバグか判断する必要があるため、「Report a Bug」からバグとして報告することが推奨されている。

みんなの感想は？

米国MITRE、PostgreSQLをCVE採番機関(CNA)に認定

外部サイト

ランキング

外部サイト

おすすめ記事

ランキング