BLOGTIMES
2015/08/05

CVSS は v3 へ

  ipa  reference 
このエントリーをはてなブックマークに追加

IPA が先日 CVSS v3 の概説を出していたのでメモ。v3 ではコンポーネントの概念が導入され、影響範囲がコンポーネントにとどまるのか、外部にまで影響するのかということが加味されるようになりました。例えば XSS や VENOM のように外部のコンポーネントにまで影響が及ぶ脆弱性についてきちんと脆弱性の評価が行えるということです。

詳細は上記の URL から調べることができます。僕も時間を見つけてチェックしておきたいと思います。

共通脆弱性評価システムCVSS v3概説:IPA 独立行政法人 情報処理推進機構

攻撃による影響を評価する項目(機密性への影響、完全性への影響、可用性への影響)は、脆弱性を悪用された場合に及ぶ影響範囲のことです(これを、影響想定範囲:Impacted Componentと呼びます)。影響想定範囲が、コンポーネントに留まる場合(脆弱想定範囲=影響想定範囲)もありますし、コンポーネント以外にも広がる場合(脆弱想定範囲!=影響想定範囲)もあります。コンポーネント以外にも広がる事例としては、クロスサイトスクリプティングのように、Webアプリケーションに存在する脆弱性が、Webアプリケーション利用者のPCのCIAに影響する事例や、ゲストOSに存在する脆弱性が、ホストOSのCIAに影響する事例が挙げられます。

    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/7804
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン