先に結論
詳しいルールは公開されていないので不明だが、CVEに登録されてすぐにチェック項目ができるのではなく、CVEの対策が生まれ、その対策がされているかどうかをチェックしているっぽい。
なので、過去のCVE番号のものが、新規で検知されることもある。
起きたこと
Inspectorで診断をすること2・3週間程度。
とりあえず週間で新規のものをメールで飛ばすシステムを作ってみたところ、ちょっと経ったら新規検知が。チェックしにコンパネより見てみると
569→573となり、新規で4件の検知。
このサーバー自体は外部公開せずに、Inspectorテスト用で特にデータもなにも入っておらず動かしているので、脆弱性自体はどうでもよいのだが、検知した脆弱性の発見時期が問題だった。
CVE-2017-16844
あれ・・・?2017?確かに手前までには検知していなかったので新規に検知したっぽい。
その期間にサーバー自身に新しいなにかを入れた記憶はない。ので、ルールの更新があった模様。
とりあえずCVE番号から検索してみる
Common Vulnerabilities and Exposures CVE-2017-16844
procmailの脆弱性でアプデしろと対応にも書かれているが、なぜ2017年の脆弱性がこのタイミングで新規検知?
原因
サーバーはamazon linuxを使っているのですが、アップデート情報にこんなものが。
Amazon Linux AMI Security Advisory: ALAS-2018-1084 Advisory Release Date: 2018-09-19 23:36 Pacific Severity: Important References: CVE-2017-16844
2018-09-19にアップデートでCVE-2017-16844に対応したようです。その診断が行われて新規検知として上げてきたようですね。
つまりaws Inspectorを勘違いしていましたが、
・脆弱性が出ているかのチェックをしている←✕
・脆弱性の対応ができているかをチェックしている←○
ということっぽいですね。CVEに引っかかる脆弱性が発見されたとしてもそのサーバーに適用できるパッチが来ない限り上げてくれないと。
まぁ、対策無いけど見つかったよ!であげられても困るか。
CVSS v3で9.8 (緊急) でもここまで対策遅れるものなのか・・・。
