CERT/CC、Linuxアプリケーションの脆弱性を分類するツール「Triage Tools 1.0」を発表
米CERT/CC(コンピュータ緊急対応チーム/調整センター)は4月25日、Linuxアプリケーションの脆弱性をその深刻度によって分類する「CERT Linux Triage Tools 1.0」を発表した。GNU Debugger(GDB)拡張「exploitable」を含むもので、GDBおよびPythonを利用する。
CERT Linux Triage ToolsはCERTの活動の1つである脆弱性発見の一環として開発されたツールで、「exploitable」と呼ばれるGNU Debugger(GDB)拡張を含む。exploitableはLinuxアプリケーションのバグをその深刻度によって分類するもの。
exploitableは、Windowsアプリケーションの自動クラッシュ分析やソフトウェアのセキュリティリスクアセスメントを行うツール「!Exploitable Crash Analyzer」や「CrashWrangler」などに着想を得て開発したもので、Linuxアプリケーションのバグを重要度により分類し、ソフトウェア開発プロセスにおける修正の優先順位を付ける。ソフトウェアベンダーは同ツールを利用して、発見された欠陥の影響を分析できるという。
CERT Linux Tirage ToolsはCERTのWebサイトよりダウンロードできる。利用には、GDB 7.2以上、Python 2.6以上が必要。
なお、CERTはWindowsアプリケーションの不具合を検出するテストツール「CERT Failure Observation Engine 1.0」も4月23日にリリースしている。
CERT
http://www.cert.org/