たとえば、Heartbleed、別名CVE-2014-0160のCVE重大度は5.0のみです。しかし、メディアはこれらのバグに夢中になりました。
かっこいい名前とロゴがあるからですか、それともCVEの重大度メトリックに多少の欠陥があるのでしょうか。
1)クールな名前は数えます。広報の価値を軽視しないでください。
2)Heartbleed、BEAST、CRIME、およびPOODLEはすべて、Webサーバーに影響を与えました(またはWebサーバーからアクセスできます)。 Webサーバーは、公開され、広く普及し、直接識別される傾向があります(マスコミや非技術者の心の中で)as "THE INTERNET。"したがって、これらの問題は、より広い影響を及ぼし、重要性がより高く認識されました。
3)CVEは、脆弱性がどれほどひどく傷つく可能性があるかを冷静に説明しようとしますが、100万枚の紙切れの死などがあります。まれで保護されているもの(たとえば、Oracleデータベースクラスター)に影響を与えるCVE 9.5は、Apacheに影響を与える4.2のCVEほど有名になることはありません。
4)CVE自体は、ソフトウェアパッケージが世界中でどれほど普及しているかを考慮していません。以下のコメントで私が言ったこととは反対に、CVSSスコアリングには遍在性の1つの尺度があります。 「ターゲット分布(TD)メトリックは、環境内の脆弱なシステムの割合を測定します」。しかし、「この測定値は主観的に計算され、通常は影響を受ける当事者によって計算されます」。したがって、これはNIST CVEの一部ではないと思います。これは、RedHatまたはOracleがCVEに基づくアドバイザリをリリースするときに調整されるものです。肝心なのは、CVEは問題について心配する必要がある人の数を決定するようには設計されていないということです影響を受けるシステムを所有/使用している場合、それらの人々がどの程度心配すべきかを正確に判断します
答えを選んでください。それらすべてにいくつかの真実があり、CVEの制限に関するXandersの解説もあります。
かっこいい名前を持っていても、FREAKは大きなスプラッシュを引き起こさないようです。それは、Webサーバーを安全にするのに十分気にしない人々のサブセットにのみ影響します。オールキャップスだったからといってマスコミが夢中にならないのを見て本当に嬉しいです...
(ウィキペディアの [〜#〜] cvss [〜#〜] ページからの引用で#4を追加するように編集され、コメントチェーンを答えに切り上げようとしています)
CVEのCVSSスコアを脆弱性に割り当てるプロセスは非常に規範的です。解釈の余地はほとんどなく、スコアリング式で説明されていない影響を説明する余地もありません。したがって、最終的には、いくつかの比較的大きな問題は奇妙に低いスコアになり、いくつかの比較的些細な問題は過度に高いスコアになります。これはシステムの性質であり、その制限の1つです。 Heartbleedは、CVSSスコアが実際の影響を適切に反映していない脆弱性の代表的な例です。
例を詳しく説明すると、CVSSは、間接効果または2次効果をスコアリングから明示的に除外します。これは標準化の観点から合理的です。さもないと、脆弱性がどのように悪用されるかについての野蛮な憶測に終わります可能性がありますスコアを大幅に引き上げて、正確に区別できなくなります。ただし、Heartbleedのような脆弱性の場合、これは、認証資格情報や証明書の秘密鍵などの重要なデータが(PoCだけでなく、現実の世界でも)明らかに危険にさらされているという事実が考慮されなかったことを意味します。 CVSSスコアリングによるアカウント。そのため、CVEのCVSSスコアは5.0と中程度であり、同時に、システム管理者はあらゆる場所でスクランブルをかけ、システムにパッチを適用し、潜在的な危害をできるだけ早く修正し、実際には非常に重大で時間に敏感なリスクの脆弱性を認識しています。 。
なぜいくつかの問題が有名になるのかについて...まあ、それらは世間の注目を集めているからです。名声は気まぐれでつかの間であり、それを心配するのに費やされた時間は無駄な時間です。