RedhatのCVE対応状況を調べると、プラットフォーム毎の状況が表で書かれています。
この表の”state”列に、プラットフォーム毎に影響あるか否か、修正中か修正完了かなどの情報が書かれます。
このstateの意味について記載します。
ざっくり以下のような感じです。
| state | 意味 | できること |
| Affected | CVEの影響有り | 対応版が出るまで待つ |
| not affected | CVEの影響無し | 影響ないため、対応は不要 |
| Fix deferred | 対応延期 | 対応版が出るまで待つ |
| Under investigation | 影響あるか否か調査中 | 影響調査結果が出るまで待つ |
| Will not fix | 対応されない | 対応版が出ることはない CVEを解決するには、CVE対応がされている別のLinux distributionを使うなどの対処が必要 |
| Fixed | 対応が完了している。パッケージをアップデートすれば解消する | CVE発生原因のパッケージをアップデートすれば解消する |
“will not fix”の場合は、そのプラットフォームでは今後、対応版が出ることはありません。
重大なリスクとなりにくい、低~中程度の影響のCVEのため、CVEの内容を見て影響ないと判断できたならば、放っておく方針もありです。
どうしても”will not fix”を解決したい場合、以下の方法が考えられます。
- 対応版が出ている別のプラットフォームにメジャーアップデートする
- 対応版が出ている別のLinux DistributionにOSを変更する
参考ページ
https://access.redhat.com/blogs/product-security/posts/2066793
Follow me!
コメント