With you today 高宮 裕子 IBM WebSphere Security Development Open Liberty Security Development Product Security Incident Response Team • 米ノースカロライナ州のIBMに勤務 • アプリケーション・ランタイム製品のセキュリティ開発部門に所属 • 2020年3月よりPSIRTチーム一員として脆弱性対応に従事 • 東京生まれ、東京育ち • JJUG CCC Fall 2022から参加 JJUG CCC 2023 Spring
@2022 IBM Corporation IBM Automation Software 脆弱性の評価 6 CVEID: CVE-2020-4276 DESCRIPTION: IBM WebSphere Application Server 7.0, 8.0, 8.5, and 9.0 traditional is vulnerable to a privilege escalation vulnerability when using token-based authentication in an admin request over the SOAP connector. X-Force ID: 175984. CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 説明をどう書いている? スコアはどうやってつけているの? ベクターって何?
@2022 IBM Corporation IBM Automation Software Security Bulletin作成 19 CVEID: CVE-2020-4276 DESCRIPTION: IBM WebSphere Application Server [7.0, 8.0, 8.5, and 9.0] traditional is vulnerable to a [privilege escalation] vulnerability when using [token-based authentication] in [an admin request over the SOAP connector] X-Force ID: 175984. CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
@2022 IBM Corporation IBM Automation Software Security Bulletin作成 20 CVEID: CVE-2020-4276 DESCRIPTION: IBM WebSphere Application Server [バージョン] traditional is vulnerable to a [脆弱性タイプ] vulnerability when using [手段] in [経路] X-Force ID: 175984. CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
@2022 IBM Corporation IBM Automation Software Security Bulletin作成 ① 定型文なので、英語力は必要なかった ② 脆弱性の内容は最小限しかシェアしない ③ 「○○の脆弱性がない」とは絶対に発表しない ④ Security Bulletinとパッチは一緒に発表する 21