2021-01-28 リリース内容

今回のリリースでは以下を変更しました。

WordPressの脆弱性検知が可能に

サーバにインストールされているWordPressコア、プラグイン、テーマの一覧を自動取得し、脆弱性を検知できるようになりました。 WordPress関連だけで2万件以上の脆弱性情報を持つwpscan.comの脆弱性データベースを利用します。

本機能は、まずWordPressが稼働するOS上にて wp コマンドを実行し、WordPressコア、プラグイン、テーマの完全なバージョンリストを取得します。この完全なリストを元に検知するため、ネットワーク型のスキャナ(シグニチャから推測する方式)よりも高精度の検知が可能です。また、擬似攻撃は行わない非破壊型スキャンのため本番サイトに影響を及ぼしません。

image

詳細はヘルプを参照ください。

OSのEOL(End Of Life)を確認可能に

サーバ詳細画面でOSのサポート期限が確認できるようになりました。

image

画面上から手動スキャン可能に

これまで、手動スキャンは擬似サーバでのみ可能でしたが、「スキャナ経由で作成されたサーバ」でも手動スキャンできるようになりました。

画面上から手動スキャンを行うことで、その時点の最新の脆弱性データベースを用いて検知処理が再実行され、脆弱性情報が最新化されます。

手動スキャンでは**「実サーバ上のスキャナは実行されません」**。前回アップロードされた情報(OSパッケージ情報など)を用いて再スキャンを行います。このためパッケージを更新した、などのサーバの構成情報を変更した場合は、手動スキャンではなくスキャナを実行してアップロードする必要があります。

攻撃コード、回避策、一次情報の情報ソースを強化

攻撃コード、緩和策、一次情報の情報ソースを強化しました。

image

RHEL8のdnf moduleに対応

RHEL8から導入された、dnf moduleの脆弱性検知をサポートしました。

dnf moduleの参考情報: RHEL8ドキュメント

脆弱性管理の対象外のソフトウェアを一括設定可能に

FutureVulsには、脆弱性管理の対象外のソフトウェアを設定できる機能があります。管理対象外として設定されたソフトウェアに、脆弱性が新規に検知された場合は、そのタスクが自動的に非表示に設定されます。

これまでは、サーバ単位でソフトウェア管理対象を設定しなければならず、大規模環境での設定が大変でした。

今回のリリースでは、ソフトウェアをグループ横断で検索し、複数選択して一括で管理対象外として設定できるようになりました。

CSIRT画面>グループセット>ソフトウェアからご利用いただけます。

image

自動Dangerを一括で解除可能に

自動Danger機能で設定されたDangerを一括解除できるようになりました。 初期設定時に間違えて大量のDangerがついてしまった場合にご利用ください。

オーガニゼーション設定>自動トリアージ設定からご利用いただけます。

image

トピック作成のメール通知機能

トピック新規作成時に、投稿対象のオーガニゼーションやグループのメンバーにメールを送信できます。Dangerな脆弱性の注意喚起や、対応状況を他グループに共有する場合などにご利用ください。

image トピックについてはヘルプを参照ください。

その他

いくつかのバグを修正しました。