CVE番号の番号体系が2014年から変わる
セキュリティ脆弱性情報のデータベースとして利用されているCVE(Common Vulnerabilities and Exposures)の番号付けは、現在は以下のように [CVE-西暦-通し番号] となっている。
この通し番号は4ケタ固定となっており、前々から、「たったの4ケタじゃ、1年に1万個以上の脆弱性が見つかったときどうするんだろう……」と思っていたのだが。どうやらちゃんとそこは考えられていたらしい。先日、CVE-ID Syntax Change として告知が出ていた。
これによると、2014年からCVE番号体系は「可変長としてケタ数の制限を無くす。ただし9999以下では固定長4ケタとしてアタマをゼロで埋め、10000を超えたらその番号で振る」と変わるらしい。つまり以下のようになる。
| 4ケタの番号 | 5ケタの番号 | 7ケタの番号 |
|---|---|---|
| CVE-2014-0001 | CVE-2014-10000 | CVE-2014-1000000 |
| CVE-2014-3127 | CVE-2014-54321 | CVE-2014-7654321 |
| CVE-2014-9999 | CVE-2014-99999 | CVE-2014-9999999 |
また、2014年以前の過去に発行されたCVE番号は全てそのままで、番号の振り直しなどはしないことも明示されている。
というわけで、あまり無いとは思うけど、CVE番号が「CVE-西暦-4ケタ」とハードコードしているシステムがある場合、何か対策が必要となりそうです。もしも何かの製品にCVE番号体系の変更による脆弱性が出てきて、それにCVE番号が付いたら面白そうですねぇ。
