やや古い情報ですが、2024/02/13にLinux Kernel ProjectがCNA(CVE Numbering Authorities)の一員になりました。これでLinux Kernel Project自身がCVE番号の採番・発行を行えるようになります。
CNAとは
CVEは、個別の製品の脆弱性に対して、cve.orgが管理しています(過去はMITREが管理)。
現在、新しい脆弱性情報が公開される際に、「CVE識別番号(CVE-ID)」が割り振られて一緒に公開されます。多くのセキュリティ検査ツールやパッチ管理ツールなどでは、セキュリティ情報として、このCVE-IDが利用されています。 当然、多くのCVE-IDが毎日振られるようになるため、これを一箇所の組織だけで行うのは非効率かつ非現実的です。そこでCVE-IDの割り当ては実際には、MITREが事務局になっている「CNA(CVE Numbering Authority:CVE採番機関)」が行っています。
こちらが、現在のCNAの状況を紹介するページになっています。
CNAの構造
こちらのリンクにある通り、CNAはツリー構造で定義されています。
CVEのニュースによると、Linux Kernelの上位がMITRE Top-Level Rootになるそうです。
CVE情報の取得方法
「Linux is a CNA」によると、今後Linux KernelのCVEはこちらのURLで見ることができるようになります。
また、Linux Kernelに関するCVEは現時点(2024/02/25)ではこちらを参照してくださいとのことです。
2024/02/22からkernel.orgが発行したCVEがCVE-DBに載ってきていますが、Descriptionの箇所が未だ読みにくいですね。この辺は、他のCVEのDescriptionを参考に、もう少し可読性が高いものにしてもらいたいところです。
[参考]
- kernel.org Added as CVE Numbering Authority (CNA)
- Linux Kernel Monkey Log 「Linux is a CNA」
