web-dev-qa-db-ja.com

攻撃のCVSSを計算して、CVEのCVSSと一致させるにはどうすればよいですか?

データベースに仮想マシンの詳細が保存されているファイル共有アプリケーション(Dropboxなど)の攻撃グラフを作成しました。残りのメモリスペースなど。考えられる攻撃をいくつか挙げました。

  1. 攻撃者は、割り当てられたメモリサイズをある程度減らすことができます(たとえば、2Gbのメモリが割り当てられている場合、攻撃者はデータベースレコードを操作して1Gbに減らすことができます)
  2. 攻撃者は、割り当てられたメモリサイズをゼロに減らすことができます(たとえば、前の場合と同様ですが、メモリスペースが残っていないため、ファイルをアップロードできません)
  3. 攻撃者は繰り返し攻撃を行い、メモリサイズを減らすことができます(たとえば、ポイント1のようにメモリサイズが1Gbに減少しました。同じことが繰り返され、メモリサイズが0.5Gbに減少します)
  4. 攻撃者は、ダウンローダーとファイルの場所の間のリンクをハッキングして、ファイルを取得する可能性があります

CVSSを計算する必要があります。リストした攻撃をCVEの攻撃と一致させるにはどうすればよいですか?

2
user2281204

ここにあるNISTのCVSS計算機を使用します http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2

隣接していないネットワークを介して脆弱性が悪用される可能性があり、アクセスの複雑さが低く、攻撃者が複数回認証する必要がある場合

AN:N, AC:L, Au:M

機密性と整合性への影響はありませんが、可用性への完全な影響は

C:N, I:N, A:C

次のスコアを与えます

Base-Score: 6.1
Base-Impact: 6.9
Exploitability: 6.4

との全体的なスコア

6.1

majorの脆弱性になります。 NISTページで、時間スコアと環境スコアをさらに計算できます。

1
fr00tyl00p

なぜ攻撃のCVSSスコアをCVEと一致させる必要があるのですか?特定のCVEのCVSSスコアは、一般的に特定のアプリケーションの範囲を維持せずに計算されます。ただし、アプリケーションのCVSSスコアを計算する場合は、そのアプリケーションに関連するすべてのポイントを考慮する必要があります。

たとえば、CVEのNVDデータベースでは、CIAは低としてマークされています。ただし、アプリケーションは機密性の高いデータを処理します。したがって、アプリケーションの同じ脆弱性では、処理するデータのタイプが原因で、C&IベクトルがHIGHになります。

0