CVE.orgの古いCVEのPublished Dateがおかしい

 CVEのPublished Dateを調べていたら、CVE.orgのPublished Dateと旧サイト(cve.mitre.org)のPublished Dateが大きく異なることに気が付きました。CVE発行数とかを調査している人には問題となると思いますので、念の為共有しておきます。

cve.miter.orgからCVE.orgへの移行(2022年)

 前提として、2022年頃からcve.miter.org(旧サイト)がCVE.org(新サイト)に移行したということは認識して頂いてると思います(知らなかった人は、こちらを見て下さい)。

 この移行の際の問題かもしれませんが、旧いcve.miter.orgに登録されていたCVE情報の中で日付関係(特にPublished Date)がcve.orgのものとずれているものが多数ある事がわかっています。

Published Dateのずれの例

 例えば、cve.orgの「CVE-2009-5085」ですが、このリンクを見てみるとわかる通りPublished Dateは「2022/10/03」になっています。

 一方で、移行前のcve.miter.orgの「CVE-2009-5085」ではPublished Dateは「2011/08/12」になっています。

 NVDの登録情報(念の為強調しますがCVE.orgとNVDは別団体が管理していますので直接の関係はありません。CVE.orgに登録されてからNVDへの登録も多少の時間差があります)で「CVE-2009-5085」を見てみるとNVD Published Dateは「2011/08/12」となっていますので、おそらくPublished Dateは「2011/08/12」の方が正しいと思われます。

 他にも、CVE.orgからダウンロードできるjsonファイルでPublished Dateを見てみると、通常毎月2000-4000のはずが2022年10月だけ11,511個のCVEがPublishされた事になっています。その他の数値も、手元で毎年計測しているものと明らかにずれています。

結局どうなっているのか

 CVE.orgにIssueとしてPublished Dateの件を上げようとしていた所、CVE.orgのcvelistv5のGitHubで次のような記述を見つけました。

「1. Added 3/28/2023: CVE Records published prior to 2023 may have significant publication, reserved, and update date discrepancies. As a result, this repository should not be used for CVE production metrics at this time. A fix will be forthcoming.」

 つまり、2023年より前(おそらくは上記の文章が追加された2023/03/28以前)に登録されていたCVEのPublished Dateや、他にもUpdate Dateも間違っていることがわかりました。

 ということで結論ですが

CVE数を追いかけている研究者・セキュリティ関係者の皆様、CVE.orgからデータを取り出す際には、2023年4月より前の日付関係は怪しいのでcve.miter.orgから取りましょう

とお話をまとめさせて頂きます。

タイトルとURLをコピーしました