This is an XML Schema for VULDEF - The Vulnerability Data
Publication and Exchange Format Data Model.
脆弱性詳細情報の XML スキーマ VULDEF - The Vulnerability Data
Publication and Exchange Format Data Model
VULDEF - The Vulnerability Data Publication and Exchange Format Data
Model
Masato Terada
3.2
2017-07-20T03:16:00+09:00
"VULDEF(The VULnerability Data publication and Exchange
Format data model)" is intended to be a format for the security information published by
the vendors or the Computer Security Incident Response Teams (CSIRTs). Assuming
widespread adoption of the VULDEF by the community, an organization can potentially
benefit from the increased automation in the processing of security advisory data, since
the commitment of vulnerability handling to parse free-form textual document will be
reduced.
"VULDEF(The VULnerability Data publication and Exchange
Format data model)"
の目的は、脆弱性情報ならびに脆弱性を除去するための脆弱性対策情報を提供し、流通させるために必要となるデータフォーマットを定義することにある。特に、脆弱性対策情報については、データフォーマットを定義することにより、情報自身の流通ならびに、関連対策情報同士の集約化を促すことができ、結果として対策促進を支援することができるであろう。
The purpose of the "VULDEF(The VULnerability Data
publication and Exchange Format data model)" is to define data formats for information
related to security advisory typically published by the Vendors and Computer Security
Incident Response Teams (CSIRTs). An the Extensible Markup Language (XML) Document Type
Definition is developed, and examples are provided.
"VULDEF(The VULnerability Data publication and Exchange
Format data model)" では、脆弱性対策の情報提供(含む交換)において必要となる項目をデータモデルとして提示すると共に、XML
による表現形式を規定することにある。
VULDEF-Document class is the top level class in the
VULDEF data model and the DTD. All VULDEF documents are instances of the
VULDEF-Document class. The version of the VULDEF specification to which the VULDEF
document conforms. The value of this attribute MUST be 3.1.
VULDEFドキュメントクラスは、VULDEF データモデルと DTD のトップレベルのクラスである。全ての
VULDEF ドキュメントは、VULDEF ドキュメントクラスのインスタンスとなる。VULDEF のバージョン情報には "3.1"
を設定する。
In each publication of vulnerability related data is
represented by an instance of the Vulinfo class. This class provides a standardized
representation for commonly published vulnerability data and associates a unique
identifier.
Vulinfo
クラスは、脆弱性に関する情報(概要、想定される影響、対策など)を記載するクラスと、その脆弱性情報を一意に識別する識別子クラスから構成する。
VulinfoID class represents an vulnerability
information number that is unique in the context of the vendor or CSIRT and
identifies the activity characterized in an VULDEF-Document. A vulnerability number
assigned to this vulnerability information by the party that generated the document.
VulinfoID includes the organization prefix and unique number within the
organization. ex. {TA04-217A:US-CERT Alerts (CERT-TA)}{bid9835:Bugtraq
(BID)}{XF9324:ISS X-Force (XF)}{JVN54326:VN-JP (JVN)}
脆弱性情報を一意に識別するための識別子であり、脆弱性情報を作成した組織が割り当てる。
Group ID for vulnerability
information
複数の脆弱性情報を取り扱う場合のグループ識別子を記載する。
The item(s) that constitute the vulnerability about
which the VULDEF-Document conveys information. The VulinfoData class summarizes the
details of the vulnerability information.
VulinfoData
クラスは、脆弱性情報として、脆弱性の概要、想定される影響、対策などの情報を記載する。
Title class describes the title of the
vulnerability information.
脆弱性対策情報の題名を記載する。JVNRSS の item 要素の title
に対応する。
VulinfoDescription class summarizes the detail of the
vulnerability information.
VulinfoDescription
クラスは、脆弱性に関する概要、技術的な解説、脆弱性のタイプの情報を記載する。
Overview is an abstract of the vulnerability that
provides a summary of the problem and its impact to the reader.
脆弱性ならびにその対策に関する概要を記載する。JVNRSS1.0 の item 要素の description
に対応する。
The vulnerability description contains one or more
paragraphs of text describing the vulnerability.
脆弱性に関する詳細情報(技術的な解説)を記載する。
CWE
脆弱性に関するタイプを記載する。
Affected class includes vendors who may be affected
by the vulnerability.
Affected
クラスは、脆弱性により影響を受けるバージョン、システムに関する情報を提示するクラスである。
Entries in the Affected class.
影響を受ける製品の項目
A vendor name of the affected
products.
影響を受ける製品のベンダ名(提供者名)を記載する。
A free-form textual description of the
affected products.
影響を受ける製品に関する説明
A product name of the affected products.
影響を受ける製品名を記載する。
A version number of the affected products.
影響を受ける製品のバージョンあるいはリビジョン番号を記載する。
A build number of the affected products.
影響を受ける製品のビルド番号を記載する。
A version or build number of the affected products.
影響を受ける製品のバージョン番号あるいはビルド番号の範囲を記載する。
A version or revision number of the affected
products.
影響を受ける製品のバージョン番号あるいはビルド番号の範囲を記載する。
Impact class allows for classifying as well as
providing a description of the technical impact due to the
vulnerability.
Impact クラスは、脆弱性に伴い想定しうる影響を記載するクラスである。
Cvss class is a information of the Common
Vulnerability Scoring System.
CVSS に関する情報を記載するクラスである。
CVSS severity ranking.
CVSS 深刻度
CVSS Vector Strings.
CVSS 短縮表記
CVSS Base Score.
CVSS 基本値
CVSS Temporal Score.
CVSS 現状値
CVSS Environmental Score.
CVSS 環境値
Entries in the Impact class.
想定される影響の項目
A free-form textual description of the
impact.
想定される影響の項目に関する説明
Solution class allows for classifying as well as
providing a description of the technical solution due to the
vulnerability.
Solution
クラスは、脆弱性の回避施策に関する情報を記載するクラスである。
Entries in the Solution class.
脆弱性の回避施策の項目
A free-form textual description of the
solution.
脆弱性の回避施策に関する説明
Exploit class allows for classifying as well as
providing a description of the technical exploit due to the vulnerability.
Exploitクラスは、脆弱性の攻略に関する情報を記載するクラスである。
Entries in the Exploit class.
脆弱性の攻略に関する項目
A free-form textual description of the
exploit.
脆弱性の攻略に関する説明
A URL to additional information about the
exploit.
脆弱性の攻略に関する情報掲載 URL
Related class is a collection of URLs at our web site
and others providing additional information about the vulnerability.
Relatedクラスは、参考情報など脆弱性に関連する情報を記載するクラスである。
Entries in the Related class.
関連情報の項目を記載する。
A issuer of the
reference.
脆弱性対策情報発行者の名称
A ID of the reference.
脆弱性対策情報を一意に識別するための識別子
A title of the reference.
脆弱性対策情報の題名
A URL to related information about the
vulnerability.
脆弱性対策情報の掲載 URL。JVNRSS の item 要素の dc:relation
に対応付ける。
A free-form textual description of the
reference.
関連情報の項目に関する説明
Credit Class identifies who initially discovered the
vulnerability, anyone who was instrumental in the development of the document and
the contributors for anything.
Entries in the Credit class.
An author/contributor Name.
A free-form textual description of the
credit.
Contact class describes contact information of
VULDEF-Document issuer.
Entries in the Contact class.
History class is a log or diary of the significant
events that occurred or actions performed by the issuers.
History クラスは、脆弱性情報の改訂履歴などを記載するクラスである。
HistoryItem class is a particular entry in the
History log that documents a particular significant action or
event.
改訂履歴の項目
Number of the this entry in the history
log.
改訂履歴の項目に付与する番号
simpleType used when scoring on a scale of 0-10,
inclusive.
This attribute indicates the disclosure guidelines to
which the sender expects the recipient of the VULDEF-Document to adhere. This
attribute is defined as an enumerated value with a default value of
"private".
送信側がVULDEF-Documentの受信側に期待する配布のガイドライン属性であり、以下の属性値(デフォルト値=private)を選択する。
There is no restriction level applied to the
information.
情報配布に関する制約はない。
The information may not be
shared.
共有を期待する情報ではない。
The historyno attribute refers to HistoryNo class.
改訂履歴の項目に付与する番号
An estimate of the relative severity of the
vulnerability. The permitted values are shown below. There is no default value.
脆弱性の相対的な深刻度の指標を、以下の属性値(デフォルト値=なし)から選択する。
Low severity.
低
Medium severity.
中
High severity.
高
This is the vulnerability information was known to
the public or not.
脆弱性情報の公開状況を、以下の属性値(デフォルト値=なし)から選択する。なお、配布のガイドライン属性restrictionとは、独立した属性である。
Public information.
公開済み
Not public information.
未公開
Each vulnerability in such a way that one can
understand the type of software problem that produced the
vulnerability.
脆弱性のタイプを記載する。タイプとして、NIST NVD で使用している VulnerabilityType
を使用する。
A vulnerability can enable either a "local" and/or
"remote" attack.
The remote attack is possible.
Need the account and logon operation.
Both attacks are possible.
This attribute indicates whether product is
vulnerable or not. There is no default value.
影響を受ける製品毎の項目フィールドであり、下記に示す脆弱性の影響有無を記述するaffectedstatus
属性を持っている。
Vulnerable to the issue.
影響あり
Not Vulnerable to the
issue.
影響なし
Under investigation or a status can't be
fixed.
不明
Vulnerable to the issue and continue to
investigate.
影響あり調査中
Not Vulnerable to the issue and continue to
investigate.
影響なし調査中
This attribute is Comparison operators for a version
or build number.
The type of impact in relatively broad categories.
The permitted values are shown below.
想定される影響のタイプを記載する。タイプとして、IODEF で使用している Impacttype
属性を使用する。
Administrative privileges were attempted or
obtained.
A denial of service was attempted or
completed.
An action on a file was attempted or
completed.
A reconnaissance probe was attempted or
completed.
User privileges were attempted or
obtained.
The activity did not have any (technical)
impact.
The impact of the activity is unknown.
Anything not in one of the above
categories.
The type of solution in relatively broad categories.
There is no default value.
回避施策のタイプを、以下の属性値(デフォルト値=なし)から選択する。
This solution eliminates the vulnerability.
脆弱性そのものを除去する施策である。
workaround solution (which has a direct
effect to resolve the issue).
暫定施策(直接的な効果)である。
migration solution (which has a indirect
effect to resolve the issue).
緩和施策(間接的な効果)である。
There is no solution.
回避施策はない。
Under investigation or a status can't be
fixed.
不明(調査中など)
The type of exploit in relatively broad categories.
There is no default value.
An exploit code exists.
すぐに悪用できるコードが存在する。
POC exists.
動作確認に利用できるコードが存在する。
Worm, Virus or Trojan Hose
exists.
ワーム、ウイルス、トロイの木馬などのコードが存在する。
Information for the exploit
exists.
手順紹介レベルの情報が存在する。
There are no exploits for this
issue.
上記のいずれも存在しない。
Currently we are not aware of any exploits
for this issue.
不明
The name of the database to which the reference is
being made. The permitted values are shown below. There is no default value.
参照する情報源を以下の属性値(デフォルト値=なし)から選択する。
Bugtraq. (=Security
Focus.)
Bugtraq (=Security Focus)
Common Vulnerabilities and Exposures
(CVE).
Common Vulnerabilities and Exposures
(CVE)
CERT/CC Vulnerability Catalog. (=CERT
Advisory)
CERT/CC Vulnerability Catalog (=CERT
Advisory)
A product vendor.
製品開発ベンダ
A local database.
Comments by person.
Except for the above.
上記以外
JVN.
JVN
JVN Status Tracking Notes.
JVN Status Tracking Notes
IPA Security Center
IPA セキュリティセンター 緊急対策情報
IPA セキュリティセンター
JPCERT 緊急報告
JPCERT Report.
JPCERT Report
@police topics
@police topics
CERT Advisory.
CERT Advisory
US-CERT Cyber Security
Alerts.
US-CERT Cyber Security Alerts
US-CERT Vulnerability
Note.
US-CERT Vulnerability Note
US-CERT Technical Cyber Security
Alert.
US-CERT Technical Cyber Security
Alert
National Vulnerability Database
(NVD).
National Vulnerability Database
(NVD)
CIAC Bulletins.
CIAC Bulletins
AUSCERT.
AUSCERT
NISCC Vulnerability
Advisory.
NISCC Vulnerability Advisory
Common Vulnerabilities and Exposures
(CVE).
Common Vulnerabilities and Exposures
(CVE)
Open Vulnerability and Assessment Language
(OVAL).
Open Vulnerability and Assessment Language
(OVAL)
Secunia Advisory.
Secunia Advisory
Security Focus.
Security Focus
ISS X-Force Database.
ISS X-Force Database
OPEN SOURCE VULNERABILITY DATABASE
(OSVDB).
OPEN SOURCE VULNERABILITY DATABASE
(OSVDB)
ISS Security Alerts and
Advisories.
ISS Security Alerts and
Advisories
X-Force セキュリティアラート&アドバイザリ
SecurityTracker.
SecurityTracker
SecuriTeam.
SecuriTeam
FrSIRT Advisories.
FrSIRT Advisories
The SANS Institute Diary.
The SANS Institute Diary