CentOS/RHELとペネトレテスト


昨今は、脆弱性対策とかでペネトレーションテストを掛けられる事がよくある。
何を隠そう、かつての私は掛ける側でした。すみません…

結果をそこそこのレベルのエンジニアさんがきちっと分析して渡してくれるならいいのだけども、

…どう見ても素人レベルの方が、どや顔で生データを提示して対応しろ、ごるぁ、な事が、さらに昨今そこここで悲劇(端から見れば喜劇)として展開される。

その中の一つに、CentOS/RHELのバージョン問題がある。

もう先に書いちゃいましょう。
もし、パッケージのバージョンが古いとか言われたら、対応したいCVEの番号を聞き出してください。
そして、おもむろに、下記のコマンドを打ちましょう。
rpm -q --changelog パッケージ名 | grep -i cve
そうすると、インストール済みのパッケージさんが、今までに対応して貰ったCVEがずらずら~と出てくるのです。

これで、バージョンが古いから対応しろ、もしくは問題が無い事を証明しろ、
のご無体に、結構な割合で対応できます。

なお、上記を行うなら、なる早で行わないと、テストした側のメンツが潰れてしまうので、注意。