This is an XML Schema for VULDEF - The Vulnerability Data Publication and Exchange Format Data Model. 脆弱性詳細情報の XML スキーマ VULDEF - The Vulnerability Data Publication and Exchange Format Data Model VULDEF - The Vulnerability Data Publication and Exchange Format Data Model Masato Terada 3.1 2011-08-17T09:00:00.000+09:00 "VULDEF(The VULnerability Data publication and Exchange Format data model)" is intended to be a format for the security information published by the vendors or the Computer Security Incident Response Teams (CSIRTs). Assuming widespread adoption of the VULDEF by the community, an organization can potentially benefit from the increased automation in the processing of security advisory data, since the commitment of vulnerability handling to parse free-form textual document will be reduced. "VULDEF(The VULnerability Data publication and Exchange Format data model)" の目的は、脆弱性情報ならびに脆弱性を除去するための脆弱性対策情報を提供し、流通させるために必要となるデータフォーマットを定義することにある。特に、脆弱性対策情報については、データフォーマットを定義することにより、情報自身の流通ならびに、関連対策情報同士の集約化を促すことができ、結果として対策促進を支援することができるであろう。 The purpose of the "VULDEF(The VULnerability Data publication and Exchange Format data model)" is to define data formats for information related to security advisory typically published by the Vendors and Computer Security Incident Response Teams (CSIRTs). An the Extensible Markup Language (XML) Document Type Definition is developed, and examples are provided. "VULDEF(The VULnerability Data publication and Exchange Format data model)" では、脆弱性対策の情報提供(含む交換)において必要となる項目をデータモデルとして提示すると共に、XML による表現形式を規定することにある。 VULDEF-Document class is the top level class in the VULDEF data model and the DTD. All VULDEF documents are instances of the VULDEF-Document class. The version of the VULDEF specification to which the VULDEF document conforms. The value of this attribute MUST be 3.1. VULDEFドキュメントクラスは、VULDEF データモデルと DTD のトップレベルのクラスである。全ての VULDEF ドキュメントは、VULDEF ドキュメントクラスのインスタンスとなる。VULDEF のバージョン情報には "3.1" を設定する。 In each publication of vulnerability related data is represented by an instance of the Vulinfo class. This class provides a standardized representation for commonly published vulnerability data and associates a unique identifier. Vulinfo クラスは、脆弱性に関する情報(概要、想定される影響、対策など)を記載するクラスと、その脆弱性情報を一意に識別する識別子クラスから構成する。 VulinfoID class represents an vulnerability information number that is unique in the context of the vendor or CSIRT and identifies the activity characterized in an VULDEF-Document. A vulnerability number assigned to this vulnerability information by the party that generated the document. VulinfoID includes the organization prefix and unique number within the organization. ex. {TA04-217A:US-CERT Alerts (CERT-TA)}{bid9835:Bugtraq (BID)}{XF9324:ISS X-Force (XF)}{JVN54326:VN-JP (JVN)} 脆弱性情報を一意に識別するための識別子であり、脆弱性情報を作成した組織が割り当てる。 Group ID for vulnerability information 複数の脆弱性情報を取り扱う場合のグループ識別子を記載する。 The item(s) that constitute the vulnerability about which the VULDEF-Document conveys information. The VulinfoData class summarizes the details of the vulnerability information. VulinfoData クラスは、脆弱性情報として、脆弱性の概要、想定される影響、対策などの情報を記載する。 Title class describes the title of the vulnerability information. 脆弱性対策情報の題名を記載する。JVNRSS の item 要素の title に対応する。 VulinfoDescription class summarizes the detail of the vulnerability information. VulinfoDescription クラスは、脆弱性に関する概要、技術的な解説、脆弱性のタイプの情報を記載する。 Overview is an abstract of the vulnerability that provides a summary of the problem and its impact to the reader. 脆弱性ならびにその対策に関する概要を記載する。JVNRSS1.0 の item 要素の description に対応する。 The vulnerability description contains one or more paragraphs of text describing the vulnerability. 脆弱性に関する詳細情報(技術的な解説)を記載する。 CWE 脆弱性に関するタイプを記載する。 Affected class includes vendors who may be affected by the vulnerability. Affected クラスは、脆弱性により影響を受けるバージョン、システムに関する情報を提示するクラスである。 Entries in the Affected class. 影響を受ける製品の項目 A vendor name of the affected products. 影響を受ける製品のベンダ名(提供者名)を記載する。 A free-form textual description of the affected products. 影響を受ける製品に関する説明 A product name of the affected products. 影響を受ける製品名を記載する。 A version number of the affected products. 影響を受ける製品のバージョンあるいはリビジョン番号を記載する。 A build number of the affected products. 影響を受ける製品のビルド番号を記載する。 A version or build number of the affected products. 影響を受ける製品のバージョン番号あるいはビルド番号の範囲を記載する。 A version or revision number of the affected products. 影響を受ける製品のバージョン番号あるいはビルド番号の範囲を記載する。 Impact class allows for classifying as well as providing a description of the technical impact due to the vulnerability. Impact クラスは、脆弱性に伴い想定しうる影響を記載するクラスである。 Cvss class is a information of the Common Vulnerability Scoring System. CVSS に関する情報を記載するクラスである。 CVSS severity ranking. CVSS 深刻度 CVSS Base Score. CVSS 基本値 CVSS Base Metrics. CVSS 基本評価基準 CVSS Temporal Metrics. CVSS 現状評価基準 CVSS Environmental Metrics. CVSS 環境評価基準 Entries in the Impact class. 想定される影響の項目 A free-form textual description of the impact. 想定される影響の項目に関する説明 Solution class allows for classifying as well as providing a description of the technical solution due to the vulnerability. Solution クラスは、脆弱性の回避施策に関する情報を記載するクラスである。 Entries in the Solution class. 脆弱性の回避施策の項目 A free-form textual description of the solution. 脆弱性の回避施策に関する説明 Exploit class allows for classifying as well as providing a description of the technical exploit due to the vulnerability. Exploitクラスは、脆弱性の攻略に関する情報を記載するクラスである。 Entries in the Exploit class. 脆弱性の攻略に関する項目 A free-form textual description of the exploit. 脆弱性の攻略に関する説明 A URL to additional information about the exploit. 脆弱性の攻略に関する情報掲載 URL Related class is a collection of URLs at our web site and others providing additional information about the vulnerability. Relatedクラスは、参考情報など脆弱性に関連する情報を記載するクラスである。 Entries in the Related class. 関連情報の項目を記載する。 A issuer of the reference. 脆弱性対策情報発行者の名称 A ID of the reference. 脆弱性対策情報を一意に識別するための識別子 A title of the reference. 脆弱性対策情報の題名 A URL to related information about the vulnerability. 脆弱性対策情報の掲載 URL。JVNRSS の item 要素の dc:relation に対応付ける。 A free-form textual description of the reference. 関連情報の項目に関する説明 Credit Class identifies who initially discovered the vulnerability, anyone who was instrumental in the development of the document and the contributors for anything. Entries in the Credit class. An author/contributor Name. A free-form textual description of the credit. Contact class describes contact information of VULDEF-Document issuer. Entries in the Contact class. History class is a log or diary of the significant events that occurred or actions performed by the issuers. History クラスは、脆弱性情報の改訂履歴などを記載するクラスである。 HistoryItem class is a particular entry in the History log that documents a particular significant action or event. 改訂履歴の項目 Number of the this entry in the history log. 改訂履歴の項目に付与する番号 AdditionalData class serves as an extension mechanism for information not otherwise represented in the data model. JvnHandlingDataset class is a exchange format for a coordination of vulnerability information handling which is between JPCERT/CC and many product vendors. "JVN vulnerability information handling assistance tool" for product vendor supports this field. JPCERT/CC と製品開発ベンダとの脆弱性情報交換に使用する拡張フィールドである。JVN 脆弱性情報ハンドリング支援で使用する。 HandlingServer class is for server module of assistance tool. The server module only makes this field. Typically, the server module is in a JPCERT/CC side. JVN 脆弱性情報ハンドリング支援のサーバモジュールで使用する拡張フィールドであり、通常、調整機関 JPCERT/CC が使用する。 VN class has a list of vulnerability information ID for coordination. 脆弱性番号群を記載するフィールド URLPublished class has a list of published URLs about a vulnerability. 公表される／公表された脆弱性情報の URL 群を記載するフィールド HandlingClient class is for client module of assistance tool. The client module only makes this field. Typically, the client module is in a product vendor side. JVN 脆弱性情報ハンドリング支援のクライアントモジュールで使用する拡張フィールドであり、通常、製品開発ベンダが使用する。 MessageType class is an exchange message type between server module and client module. JVN 脆弱性情報ハンドリング支援のクライアントモジュールが受信確認を返信する際に使用するフィールドであり、JVN 脆弱性情報ハンドリング支援のサーバモジュールが選択した情報分類を指定する。 Other 上記以外(ゼロまたはNULLは上記以外を意味する) The message is a summary of vulnerability information. 概要情報 The message is a detail of vulnerability information. 詳細情報 The message is a status information about coordination. ステータス情報 DTRequest class is an request message type from client module to server module. JVN 脆弱性情報ハンドリング支援のクライアントモジュールから、詳細情報の送付を要求する際に使用するフィールドである。 Other 詳細情報を要求していない(ゼロまたはNULLは詳細情報を要求していないを意味する) Request for a detail of vulnerability information. 詳細情報を要求 JvnDataset class is used for a receipt of confirmation about a status registration. JvnDataset クラスには、JVN に登録したステータス情報を記載する。 simpleType used when scoring on a scale of 0-10, inclusive. This attribute indicates the disclosure guidelines to which the sender expects the recipient of the VULDEF-Document to adhere. This attribute is defined as an enumerated value with a default value of "private". 送信側がVULDEF-Documentの受信側に期待する配布のガイドライン属性であり、以下の属性値(デフォルト値＝private)を選択する。 There is no restriction level applied to the information. 情報配布に関する制約はない。 The information may not be shared. 共有を期待する情報ではない。 The historyno attribute refers to HistoryNo class. 改訂履歴の項目に付与する番号 An estimate of the relative severity of the vulnerability. The permitted values are shown below. There is no default value. 脆弱性の相対的な深刻度の指標を、以下の属性値(デフォルト値＝なし)から選択する。 Low severity. 低 Medium severity. 中 High severity. 高 This is the vulnerability information was known to the public or not. 脆弱性情報の公開状況を、以下の属性値(デフォルト値＝なし)から選択する。なお、配布のガイドライン属性restrictionとは、独立した属性である。 Public information. 公開済み Not public information. 未公開 Each vulnerability in such a way that one can understand the type of software problem that produced the vulnerability. 脆弱性のタイプを記載する。タイプとして、NIST NVD で使用している VulnerabilityType を使用する。 A vulnerability can enable either a "local" and/or "remote" attack. The remote attack is possible. Need the account and logon operation. Both attacks are possible. This attribute indicates whether product is vulnerable or not. There is no default value. 影響を受ける製品毎の項目フィールドであり、下記に示す脆弱性の影響有無を記述するaffectedstatus 属性を持っている。 Vulnerable to the issue. 影響あり Not Vulnerable to the issue. 影響なし Under investigation or a status can't be fixed. 不明 Vulnerable to the issue and continue to investigate. 影響あり調査中 Not Vulnerable to the issue and continue to investigate. 影響なし調査中 This attribute is Comparison operators for a version or build number. The type of impact in relatively broad categories. The permitted values are shown below. 想定される影響のタイプを記載する。タイプとして、IODEF で使用している Impacttype 属性を使用する。 Administrative privileges were attempted or obtained. A denial of service was attempted or completed. An action on a file was attempted or completed. A reconnaissance probe was attempted or completed. User privileges were attempted or obtained. The activity did not have any (technical) impact. The impact of the activity is unknown. Anything not in one of the above categories. The type of solution in relatively broad categories. There is no default value. 回避施策のタイプを、以下の属性値(デフォルト値＝なし)から選択する。 This solution eliminates the vulnerability. 脆弱性そのものを除去する施策である。 workaround solution (which has a direct effect to resolve the issue). 暫定施策(直接的な効果)である。 migration solution (which has a indirect effect to resolve the issue). 緩和施策(間接的な効果)である。 There is no solution. 回避施策はない。 Under investigation or a status can't be fixed. 不明(調査中など) The type of exploit in relatively broad categories. There is no default value. An exploit code exists. すぐに悪用できるコードが存在する。 POC exists. 動作確認に利用できるコードが存在する。 Worm, Virus or Trojan Hose exists. ワーム、ウイルス、トロイの木馬などのコードが存在する。 Information for the exploit exists. 手順紹介レベルの情報が存在する。 There are no exploits for this issue. 上記のいずれも存在しない。 Currently we are not aware of any exploits for this issue. 不明 The name of the database to which the reference is being made. The permitted values are shown below. There is no default value. 参照する情報源を以下の属性値(デフォルト値＝なし)から選択する。 Bugtraq. (=Security Focus.) Bugtraq (=Security Focus) Common Vulnerabilities and Exposures (CVE). Common Vulnerabilities and Exposures (CVE) CERT/CC Vulnerability Catalog. (=CERT Advisory) CERT/CC Vulnerability Catalog (=CERT Advisory) A product vendor. 製品開発ベンダ A local database. Comments by person. Except for the above. 上記以外 JVN. JVN JVN Status Tracking Notes. JVN Status Tracking Notes IPA Security Center IPA セキュリティセンター 緊急対策情報 IPA セキュリティセンター JPCERT 緊急報告 JPCERT Report. JPCERT Report @police topics @police topics CERT Advisory. CERT Advisory US-CERT Cyber Security Alerts. US-CERT Cyber Security Alerts US-CERT Vulnerability Note. US-CERT Vulnerability Note US-CERT Technical Cyber Security Alert. US-CERT Technical Cyber Security Alert National Vulnerability Database (NVD). National Vulnerability Database (NVD) CIAC Bulletins. CIAC Bulletins AUSCERT. AUSCERT NISCC Vulnerability Advisory. NISCC Vulnerability Advisory Common Vulnerabilities and Exposures (CVE). Common Vulnerabilities and Exposures (CVE) Open Vulnerability and Assessment Language (OVAL). Open Vulnerability and Assessment Language (OVAL) Secunia Advisory. Secunia Advisory Security Focus. Security Focus ISS X-Force Database. ISS X-Force Database OPEN SOURCE VULNERABILITY DATABASE (OSVDB). OPEN SOURCE VULNERABILITY DATABASE (OSVDB) ISS Security Alerts and Advisories. ISS Security Alerts and Advisories X-Force セキュリティアラート＆アドバイザリ SecurityTracker. SecurityTracker SecuriTeam. SecuriTeam FrSIRT Advisories. FrSIRT Advisories The SANS Institute Diary. The SANS Institute Diary