2025 年 07 月 10 日
第 9 話:EMLinux の脆弱性検査機能が KEV に対応しました
はじめに
EMLinux では 3.3-202504 より、脆弱性検査機能の出力に KEV (Known Exploited Vulnerabilities) が含まれるようになりました。
本記事では、KEV への対応の背景と脆弱性検査機能の実行結果について紹介します。
KEV とは?
KEV (Known Exploited Vulnerabilities) は、日本語では「既知の悪用された脆弱性」という意味になります。具体的には、「攻撃者によって実際に悪用されたことが確認されているセキュリティ上の脆弱性」を意味しています。
ではなぜ、EMLinux の脆弱性検査機能が KEV に対応する必要があったのでしょうか?
対応の背景には、欧州サイバーレジリエンス法 (Cyber Resilience Act: CRA) があります。
CRA の「第 14 条 製造業者の報告義務」では、製造業者が悪用されている脆弱性を認識してから 24 時間以内に、その脆弱性を報告する必要があると定められています(執筆時点)。
製品に含まれる「悪用されている脆弱性」、つまり KEV の有無を迅速に知ることが、CRA 対応のための要件として定められているのです。
脆弱性検査機能の実行結果
実際に EMLinux の脆弱性検査機能を実行してみましょう。
本記事では、執筆時点での最新版 EMLinux 3.3-202506 を使用しました。脆弱性検査機能の実行方法は「第 5 話:組込み Linux「EMLinux」の脆弱性検査機能を使ってみよう」を参照してください。
以下は linux-cip (CIP kernel) に対しての脆弱性検査結果の抜粋です。また、以下はテキスト形式での出力結果ですが、JSON 形式での出力にも対応しています。
PACKAGE NAME: linux-cip
BINARY PACKAGE NAME: linux-image-cip
VERSION: 6.1.137-cip42+r0
CVE: CVE-2024-53197
CVE STATUS: Patched
( 中略 )
CVSS v3 BASE SCORE: 7.8
VECTOR: LOCAL
VECTOR STRING: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
KEV: Found
(後略)
KEV のカタログに登録されたCVE-2024-53197が 「KEV: Found」として検出されています。また、「CVE STATUS: Patched」となっており、EMLinux 3.3-202506 にて対応済みであることがわかります。
さいごに
EMLinux の脆弱性検査機能にて、EMLinux に含まれるパッケージおよび利用している CIP kernel の脆弱性がKEV のカタログに登録されているかどうかを簡単に知ることができます。
脆弱性検査機能は無償評価版でも利用可能です。ぜひ、「EMLinux 無償評価版」で脆弱性検査機能をお試しください。
なお、「EMLinux カスタムメンテナンスサービス」では、サイバートラストにてお客様環境をお預かりし、定期的に脆弱性の検査を行い、セキュリティアップデートの適用を行っております。長期間にわたる脆弱性対応にお悩みの方は、お気軽にサイバートラストにお問い合わせください。
連載リンク
- 第 1 話:商用組込み Linux:「EMLinux」のご紹介
- 第 2 話:組込み Linux「EMLinux」を使ってみよう
- 第 3 話:組込み Linux「EMLinux」をカスタマイズしてみよう
- 第 4 話:組込み Linux「EMLinux」の SBOM 出力機能を使ってみよう
- 第 5 話:組込み Linux「EMLinux」の脆弱性検査機能を使ってみよう
- 第 6 話:組込み Linux「EMLinux」をアップデートしてみよう
- 第 7 話:組込み Linux「EMLinux」の SDK をビルドしてみよう
- 第 8 話:SDK でビルドしたプログラムを EMLinux で動かしてみよう
- 第 10 話:ISAR と EMLinux
