CVSSスコアが変わるのはなぜですか?
National Vulnerability Databaseページ( https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0778 )の変更履歴から、CVSS v3を確認できますスコアは時間とともに変更されました。たとえば、CVE-2016-0778に追加されたときのCVSSスコアはAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hです。しばらくして、彼らはそれをAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:Hに更新しました。ここで、AV-Attack Complexityは低から高に変化しています。それは、この脆弱性が悪用されるのがより難しいことを意味すると思います。なぜこれらの変更が必要なのですか?
一般的に言えば、脆弱性は理解が深まるにつれてスコアが付け直されます。マイターは最悪のシナリオで何かを採点し、問題がさらに調査されるにつれて採点を下げることがよくあるようです。
この特定の脆弱性に関しては、100%明確ではありませんが、スコアリングが変更されたと同時に他のいくつかの変更が行われました-その1つに ベンダーアドバイザリ が追加されました。このアドバイザリには、「一致するサーバーコードは出荷されていませんが、クライアントコードはデフォルトで有効になっており、悪意のあるサーバーによってだまされて、プライベートクライアントユーザーキーを含むクライアントメモリをサーバーにリークする可能性があります。」したがって、この脆弱性を利用するには、1)適切なサーバーコードを記述し、2)サーバーに変更されたバージョンを使用させ、3)クライアントに侵入したサーバーに接続させる必要があります。
さて、 CVSS v3計算機 を見てください。攻撃の複雑さが低いため、「特殊なアクセス条件や根拠のない状況は存在しません。攻撃者は脆弱なコンポーネントに対して繰り返し成功することを期待できます。」攻撃者はサーバーのセキュリティを侵害する必要があるため(つまり、特殊なアクセス条件)、これは明らかに当てはまりません。攻撃の複雑さの説明を見ると、「攻撃を成功させるには、攻撃が成功する前に、攻撃者が脆弱なコンポーネントに対する実行の準備にある程度の労力を費やす必要がある」と述べています。勧告に基づいて、それは確かにそうであるようです。
免責事項:私はマイターによるこの脆弱性のスコアリングとは何の関係もありませんでした(ただし、雇用主のためにアドバイザリーを書き、脆弱性をスコア付けします)、入手可能な情報を考えると、この変更は私には理にかなっています。