脆弱性の深刻度CVSSとは

先日、NucleusにXSSの脆弱性があることが公表されましたが、JVNのレポートにCVSS による深刻度という項目があり、その値が4.3 (警告)であると記載されています。この値がなぜ4.3なのかということがちょっと気になったので、少しCVSSについて調べてみました。

共通脆弱性評価システムCVSS v2概説

共通脆弱性評価システム CVSS （ Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会（ NIAC: National Infrastructure Advisory Council ）のプロジェクトで 2004年10月に原案が作成されました。

その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。CVSSは、現在、30を超える組織で採用されています。

これによるとCVSS ^*1はコンピュータセキュリティに関する国際フォーラムであるFIRST^*2管理している、脆弱性についての共通尺度であるようです。スコアの算出方法についても上記のドキュメントに解説がありますが、計算式がそれなりに複雑なので、実際に値を算出するにはJVNが用意しているCVSS計算機を使うのが手っ取り早くて間違いもなさそうです。

† ほとんどの脆弱性はレベルII？

ちなみにスコアによる深刻度のレベル分けは下記のようになっているようです。
　・レベルIII 危険 （7.0～10.0）
　・レベルII 警告 （4.0～6.9）
　・レベルI 注意 （0.0～3.9）

脆弱性の深刻度評価の新バージョンCVSS v2への移行についてによると、クロスサイト・スクリプティング、一部の情報が漏えいするようなディレクトリ・トラバーサル、一部のシステムが停止するようなサービス運用妨害(DoS)などがレベルIIに該当し、JVNが扱う脆弱性は半分以上はレベルIIであるということもわかりました。

ということで、Nucleusの脆弱性はそれほど過大評価されているわけでもないようです。しかしながら、穴が開いていることに変わりはないので、EUC-JP版をお使いのユーザーの方は是非バージョンアップをお願いします。

• ^*1: Common Vulnerability Scoring System
• ^*2: Forum of Incident Response and Security Teams