BLOGTIMES
« :: »
2015/08/05

CVSS は v3 へ

  ipa  reference 
このエントリーをはてなブックマークに追加

IPA が先日 CVSS v3 の概説を出していたのでメモ。v3 ではコンポーネントの概念が導入され、影響範囲がコンポーネントにとどまるのか、外部にまで影響するのかということが加味されるようになりました。例えば XSS や VENOM のように外部のコンポーネントにまで影響が及ぶ脆弱性についてきちんと脆弱性の評価が行えるということです。

詳細は上記の URL から調べることができます。僕も時間を見つけてチェックしておきたいと思います。

共通脆弱性評価システムCVSS v3概説:IPA 独立行政法人 情報処理推進機構

攻撃による影響を評価する項目(機密性への影響、完全性への影響、可用性への影響)は、脆弱性を悪用された場合に及ぶ影響範囲のことです(これを、影響想定範囲:Impacted Componentと呼びます)。影響想定範囲が、コンポーネントに留まる場合(脆弱想定範囲=影響想定範囲)もありますし、コンポーネント以外にも広がる場合(脆弱想定範囲!=影響想定範囲)もあります。コンポーネント以外にも広がる事例としては、クロスサイトスクリプティングのように、Webアプリケーションに存在する脆弱性が、Webアプリケーション利用者のPCのCIAに影響する事例や、ゲストOSに存在する脆弱性が、ホストOSのCIAに影響する事例が挙げられます。

    by hsur at 18:13 [5年前][4年前][3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |
    こんな記事もあります 「影響想定範囲 Impacted Component
    改めて Barry Boehm のスパイラルモデルを学ぶ
    Raspberry Pi PoE HAT が国内発売に
    Windows 10 上の Ubuntu 18.04 に Splash をインストールする
    学校環境衛生基準の改定で、温度は17度以上28度以下に
    ESXi で強制的にパープルスクリーンを出す方法
    Prota S の動作不安定の原因は USB 電源?
    EPSON のドットインパクトプリンタの問題は MS のパッチで解決へ
    Solr 6.6 を CentOS 7 にインストールしてみる
    YubiX で YubiKey をパスワード認証に使う
    Raspberry Pi 3 発表
    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/7804
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン

    « :: »
    Copyright © 2004-2023 by CLES All Rights Reserved.