CVSSの機密性への影響について、logjamが「なし」と評価されるのはなぜですか。
[〜#〜] cvss [〜#〜]Logjam のスコアは (AV:N/AC:M/Au:N/C:N/I:P/A:N) 。
ニースの動的画像の解釈で述べたように、影響メトリック「機密性」は「なし」(C:N)として記述されます。
しかし、 Logjam の説明は "盗聴できるパッシブネットワークの敵がいます"攻撃1について、FBIサイトへの投稿の平文を表示するビデオがあります。確かに、それは少なくとも部分的な機密性の影響C/P)に値します。
そしてもちろん、それまたはなりすまし攻撃を適切なユーザーに対して使用できる場合は、サーバーの機密性、整合性、および可用性に関する情報に完全にアクセスできる可能性もあります。しかし、私は彼らがそれらの後続の攻撃を数えないと思います。
NVDがどのようにして彼らを思いついたのかはわかりません。それをベースライン評価と呼びましょう。しかし、すべてのベンダーがそのベースライン評価に従っているわけではないことをお伝えできます。
格付け調査
- (AV:N/AC:M/Au:N /C:N/ I:P/A:N)、4.3、 NVD
- そして、これを手動で(AV:N/AC:M/Au:N /C:P/ I:P/A:N)に変更すると、次に、
Overall CVSS Score 5.8を取得します。
- そして、これを手動で(AV:N/AC:M/Au:N /C:P/ I:P/A:N)に変更すると、次に、
- (AV:N/AC:M/Au:N /C:N/ I:P/A:N)、4.3、ジュニパー 。 NVDと同じです。
- (AV:N/AC:M/Au:N /C:P/ I:N/A:N)、4.3、ポリコム 。代わりにC:P/I:N。
- (AV:N/AC:M/Au:N /C:P/ I:N/A:N)、4.3、 IBM 。代わりにC:P/I:N。
- (AV:N/AC:M/Au:N /C:P/ I:N/A:N)、4.3、 RedHat 。代わりにC:P/I:N。
- (AV:N/AC:H/Au:N /C:P/ I:P/A:P)、5.1、 SCIP VulDB 。代わりにC:P。
ベースラインもわかりません。
FIRST.orgは、脆弱性のスコアリング方法についていくつかの CVSSの例 を提供しています。これらの例では、正しく評価するように注意していると思います。
これらは、CVSSv2とCVSSv3の両方を使用してスコアリングされます。
そして、2つのSSL/TLSの脆弱性がリストされています。ナンバー3、それはプードルです。そして、ChangeChiperSpecの脆弱性である20番。そして、どちらもCVSS v2で「C:P(部分的)」を獲得しています。
そして、これらの例を見ると、LogjamもC:Pとしてスコアリングします。 NVDはそうではありません。理由はわかりません。
履歴の編集
この投稿の長く複雑な進化については、 編集履歴 を参照してください。