Загальна система оцінки вразливостей (англ. Common Vulnerability Scoring System, CVSS) – це безкоштовний і відкритий галузевий стандарт для оцінки серйозності вразливостей безпеки комп’ютерної системи. CVSS намагається призначити оцінки серйозності вразливостям, дозволяючи особам, що реагують, розставляти пріоритети відповідей і ресурсів відповідно до загроз. Оцінки розраховуються на основі формули, яка залежить від кількох метрик, які приблизно описують легкість і вплив експлойту. Оцінки коливаються від 0 до 10, причому 10 є найважою. Хоча багато хто використовує лише базову оцінку CVSS для визначення серйозності, існують також темпоральні оцінки та оцінки середовища, щоб врахувати доступність пом’якшення ризиків та наскільки широко поширені вразливі системи в організації, відповідно.
Поточна версія CVSS (CVSSv3.1) була випущена в червні 2019 року.
Історія
Дослідження [en] (NIAC) у 2003/2004 рр. призвело до запуску CVSS версії 1 (CVSSv1) у лютому 2005 р. з метою бути «призначеним для надання відкритих і універсальних стандартних рейтингів серйозності вразливості програмного забезпечення». Цей початковий проект не був предметом експертної оцінки чи розгляду іншими організаціями. У квітні 2005 року NIAC вибрав Форум команд реагування на інциденти та безпеки (), щоб стати зберігачем CVSS для майбутнього розвитку.
Відгуки постачальників, які використовують CVSSv1 у виробництві, показали, що були «значні проблеми з початковим проектом CVSS». Робота над версією CVSS 2 (CVSSv2) почалася в квітні 2005 року, а остаточна специфікація була представлена в червні 2007 року.
Подальші відгуки привели до початку роботи над CVSS версії 3 у 2012 році, що закінчилось випуском CVSSv3.0 у червні 2015 року.
Термінологія
Оцінка CVSS визначає три проблемні питання:
- Базові показники для якостей, притаманних уразливості
- Темпоральні (часові) метрики для характеристик, які змінюються протягом життєвого циклу вразливості
- Метрики середовища для вразливостей, які залежать від конкретної реалізації або середовища
Для кожної з цих груп показників створюється числова оцінка. Векторний рядок (або просто «вектор» у CVSSv2) представляє значення всіх показників у вигляді блоку тексту.
Версія 2
Повну документацію для CVSSv2 можна отримати на сайті FIRST. Нижче наведено резюме.
Базові показники
Вектор доступу
Вектор доступу (AV) показує, як може бути використана вразливість.
Значення | Опис | Балли |
---|---|---|
Локальна (L) | Зловмисник повинен мати фізичний доступ до вразливої системи (наприклад, атаки на FireWire) або локальний обліковий запис (наприклад, атака з підвищенням привілеїв). | 0.395 |
Сусідня мережа (A) | Зловмисник повинен мати доступ до широкомовного домену або домену колізій уразливої системи (наприклад, підробка ARP, атаки Bluetooth). | 0.646 |
Мережа (N) | Уразливий інтерфейс працює на рівні 3 або вище мережевого стека OSI. Ці типи вразливостей часто описують як віддалено експлуатовані (наприклад, віддалене переповнення буфера в мережевій службі). | 1.0 |
Складність доступу
Показник складності доступу (AC) описує, наскільки легко або важко використовувати виявлену вразливість.
Значення | Опис | Балли |
---|---|---|
Висока (H) | Існують спеціальні умови, наприклад, стан гонитви з вузьким вікном або потреба у методах соціальної інженерії, які легко помітять обізнані люди. | 0.35 |
Помірна (M) | Існують додаткові вимоги до атаки, наприклад обмеження джерела атаки або вимога, щоб уразлива система працювала з незвичайною конфігурацією, яка не є конфігурацією за замовчуванням. | 0.61 |
Низька (L) | Немає особливих умов для використання уразливості, наприклад, коли система доступна для великої кількості користувачів або вразлива конфігурація розповсюджена. | 0.71 |
Автентифікація
Показник автентифікації (Au) описує кількість разів, коли зловмисник повинен автентифікуватися на цілі, щоб скористатися вразливістю. Він не включає (наприклад) автентифікацію в мережі для отримання доступу. Для вразливостей, які можна використовувати локально, це значення має бути встановлене на Одиночна або Множинна, лише якщо після початкового доступу потрібна подальша автентифікація.
Значення | Опис | Балли |
---|---|---|
Множинна (M) | Використання вразливості вимагає від зловмисника автентифікації двічі або більше разів, навіть якщо кожен раз використовуються одні й ті ж облікові дані. | 0.45 |
Одиночна (S) | Зловмисник повинен пройти автентифікацію один раз, щоб використати вразливість. | 0.56 |
Відсутня (N) | Зловмисник не потребує автентифікації. | 0.704 |
Метрики впливу
Конфіденційність
Показник конфіденційності (C) описує вплив на конфіденційність даних, що обробляються системою.
Значення | Опис | Балли |
---|---|---|
Відсутній (N) | Відсутній вплив на конфіденційність системи. | 0.0 |
Частковий (P) | Відбувається значне розкриття інформації, але масштаби втрати обмежені таким чином, що доступні не всі дані. | 0.275 |
Повний (C) | Відбувається повне розкриття інформації, надання доступу до будь-яких/всіх даних в системі. Крім того застосовується, якщо можна отримати доступ лише до певної інформації з обмеженим доступом, але розкрита інформація має прямий серйозний вплив. | 0.660 |
Цілісність
Показник Цілісність (I) описує вплив на цілісність експлуатованої системи.
Значення | Опис | Балли |
---|---|---|
Відсутній (N) | Відсутній вплив на цілісність системи. | 0.0 |
Частковий (P) | Можлива зміна деяких даних або системних файлів, але обсяг модифікації обмежений. | 0.275 |
Повний (C) | Відбувається повна втрата цілісності; зловмисник може змінити будь-які файли або інформацію в цільовій системі. | 0.660 |
Доступність
Показник доступності (A) описує вплив на доступність цільової системи. Атаки, які споживають пропускну здатність мережі, цикли процесора, пам'ять або будь-які інші ресурси, впливають на доступність системи.
Значення | Опис | Балли |
---|---|---|
Відсутній (N) | Відсутній вплив на доступність системи. | 0.0 |
Частковий (P) | Знижена продуктивність або втрата деяких функцій. | 0.275 |
Повний (C) | Відбувається повна втрата доступності атакованого ресурсу. | 0.660 |
Розрахунки
Ці шість метрик використовуються для розрахунку можливості експлуатації (Exploitability) та впливу (Impact) вразливості. Ці часткові оцінки використовуються для обчислення загальної базової оцінки.
де, AccessVector - значення метрики "вектор доступу", AccessComplexity - значення метрики "складність доступу", Authentication - значення метрики "автентифікація", ConfImpact - вплив на конфіденційність, IntegImpact - вплив на цілісність, AvailImpact - вплив на доступність, roundTo1Decimal - функція округлення до 1 десяткового знака після коми, BaseScore - базова оцінка.
Показники підлягають конкатенації, щоб створити вектор CVSS для вразливості.
Приклад
Уразливість переповнення буфера впливає на програмне забезпечення вебсервера, це дозволяє віддаленому користувачеві отримати частковий контроль над системою, включаючи можливість її вимикання:
Метрика | Значення | Опис |
---|---|---|
Вектор доступу | Мережа | До вразливості можна отримати доступ з будь-якої мережі, яка може отримати доступ до цільової системи – як правило, з усього Інтернету |
Складність доступу | Низька | Особливих вимог до доступу немає |
Автентифікація | Відсутня | Для використання уразливості не вимагається автентифікація |
Конфіденційність | Частковий | Зловмисник може прочитати деякі файли та дані в системі |
Цілісність | Частковий | Зловмисник може змінити деякі файли та дані в системі |
Доступність | Частковий | Зловмисник може призвести до того, що система та вебслужба стануть недоступними або перестануть реагувати, вимкнувши систему |
Це дасть 10 балів щодо можливості експлуатації та 8,5 бала впливу, що дасть загальний базовий бал 9,0. Вектор для базової оцінки в цьому випадку буде AV:N/AC:L/Au:N/C:P/I:P/A:C. Оцінка та вектор зазвичай представлені разом, щоб дозволити реципієнту повністю зрозуміти природу вразливості та розрахувати власну оцінку середовища, якщо необхідно.
Темпоральні метрики
Значення темпоральних метрик змінюється протягом життя вразливості, оскільки експлойти розробляються, розкриваються й автоматизуються, а також стають доступними засоби пом’якшення та виправлення.
Експлуатабельність
Показник можливості експлуатабельності (E) описує поточний стан методів експлуатації або автоматизованого коду для експлуатації.
Значення | Опис | Балли |
---|---|---|
Не доведено (U) | Код експлойту відсутній, або експлойт є теоретичним | 0.85 |
Доказ концепції (P) | Код експлойту для підтвердження концепції або демонстраційні атаки доступні, але не практичні для широкого використання. Не працює проти всіх випадків уразливості. | 0.9 |
Функціональний (F) | Функціональний код експлойта доступний і працює в більшості ситуацій, де є уразливість. | 0.95 |
Високий (H) | Уразливість може бути використана за допомогою автоматизованого коду, включаючи мобільний код (наприклад, хробак або вірус). | 1.0 |
Не визначено (ND) | Це сигнал ігнорувати цей показник. | 1.0 |
Рівень відновлення
Рівень усунення (RL) уразливості дозволяє знизити темпоральну оцінку вразливості, оскільки будуть доступні засоби пом’якшення та офіційні виправлення.
Значення | Опис | Балли |
---|---|---|
Офіційне виправлення (O) | Доступне повне рішення постачальника - або виправлення, або оновлення. | 0.87 |
Тимчасове виправлення (T) | Від постачальника є офіційне, але тимчасове виправлення/пом’якшення. | 0.90 |
Обхідний шлях (W) | Існує неофіційне рішення, яке не є постачальником, або доступне пом’якшення – можливо, розроблене або запропоноване користувачами продукту чи іншою третьою стороною. | 0.95 |
Недоступне (U) | Немає доступного рішення або неможливо застосувати запропоноване рішення. Це звичайний початковий стан рівня виправлення, коли виявлено вразливість. | 1.0 |
Не визначено (ND) | Це сигнал ігнорувати цей показник. | 1.0 |
Впевненість у звіті
Впевненість у звіті (RC) про вразливість вимірює рівень впевненості в існуванні вразливості, а також достовірність технічних деталей уразливості.
Значення | Опис | Балли |
---|---|---|
Не підтверджено (UC) | Одне непідтверджене джерело або кілька конфліктуючих джерел. Уразливість за чутками. | 0.9 |
Не впевнено (UR) | Кілька джерел, які в цілому погоджуються – може залишатися певний рівень невизначеності щодо вразливості | 0.95 |
Підтверджено (C) | Визнано та підтверджено постачальником або виробником продукту, на який впливає. | 1.0 |
Не визначено (ND) | Це сигнал ігнорувати цей показник. | 1.0 |
Розрахунки
Ці три показники використовуються разом із базовою оцінкою, яка вже була розрахована для отримання темпоральної оцінки вразливості з пов’язаним із нею вектором.
Формула, яка використовується для обчислення темпоральної оцінки:
де TemporalScore - темпоральна оцінка, BaseScore - базова оцінка, Exploitability - експлуатабельність, RemediationLevel - рівень відновлення, ReportConfidence - впевненість у звіті.
Приклад
Щоб продовжити наведений вище приклад, якщо постачальника вперше повідомили про вразливість шляхом опублікування коду з підтвердженням концепції в списку розсилки, початкова темпоральна оцінка буде розрахована за допомогою значень, наведених нижче:
Метрика | Значення | Опис |
---|---|---|
Експлуатабельність | Доказ концепції | Підтвердження концепції, неавтоматичний код надається для демонстрації основних функцій експлойту. |
Рівень відновлення | Недоступне | Постачальник ще не мав можливості надати пом’якшення чи виправлення. |
Впевненість у звіті | Не підтверджено | Було єдине повідомлення про вразливість |
Це дало б темпоральну оцінку 7,3 з темпоральним вектором E:P/RL:U/RC:UC (або повним вектором AV:N/AC:L/Au:N/C:P/I:P/A:C/E:P/RL:U/RC:UC).
Якщо постачальник підтвердить уразливість, оцінка підвищується до 8,1 з темпоральним вектором E:P/RL:U/RC:C.
Тимчасове виправлення від постачальника зменшить оцінку до 7,3 (E:P/RL:T/RC:C), тоді як офіційне виправлення зменшить її ще до 7,0 (E:P/RL:O/RC:C). Оскільки неможливо бути впевненим, що кожна уражена система була виправлена або виправлена, темпоральна оцінка не може знизитися нижче певного рівня на основі дій постачальника, і може збільшитися, якщо буде розроблено автоматизований експлойт для вразливості.
Метрики середовища
Метрики середовища використовують базову та поточну темпоральну оцінку для оцінки серйозності вразливості в контексті способу розгортання вразливого продукту або програмного забезпечення. Цей показник розраховується суб’єктивно, як правило, ураженими сторонами.
Потенціал побічної шкоди
Потенціал побічної шкоди (CDP) вимірює потенційну втрату або вплив на такі фізичні активи, як обладнання (і життя), або фінансовий вплив на організацію, яка постраждала, якщо вразливість буде використана.
Значення | Опис | Балли |
---|---|---|
Відсутній (N) | Немає можливості втрати власності, доходу чи продуктивності | 0 |
Низький (L) | Невелике пошкодження активів або незначна втрата доходу чи продуктивності | 0.1 |
Нижче середнього (LM) | Помірні пошкодження або втрати | 0.3 |
Вище середнього (MH) | Значні пошкодження або втрати | 0.4 |
Високий (H) | Катастрофічний збиток або втрата | 0.5 |
Не визначено (ND) | Це сигнал ігнорувати цей показник | 0 |
Розповсюдженість цілей
Показник розповсюдженності цілей (TD) вимірює частку вразливих систем у середовищі.
Значення | Опис | Балли |
---|---|---|
Відсутній (N) | Цільових систем не існує, або вони існують лише в лабораторних умовах | 0 |
Низький (L) | 1–25% систем під загрозою | 0.25 |
Помірний (M) | 26–75% систем під загрозою | 0.75 |
Високий (H) | 76–100% систем під загрозою | 1.0 |
Не визначено (ND) | Це сигнал ігнорувати цей показник | 1.0 |
Модифікатор підрахунку впливу
Ще три показники оцінюють конкретні вимоги безпеки до конфіденційності (CR), цілісності (IR) та доступності (AR), що дозволяє точно налаштувати оцінку середовища відповідно до середовища користувачів.
Значення | Опис | Балли |
---|---|---|
Низький (L) | Втрата (конфіденційності / цілісності / доступності) може мати лише обмежений вплив на організацію. | 0.5 |
Помірний (M) | Втрата (конфіденційності / цілісності / доступності) може мати серйозний вплив на організацію. | 1.0 |
Високий (H) | Втрата (конфіденційності / цілісності / доступності) може мати катастрофічний вплив на організацію. | 1.51 |
Не визначено (ND) | Це сигнал ігнорувати цей показник | 1.0 |
Розрахунки
П’ять показників середовища використовуються разом із попередньо оціненими базовими та темпоральними показниками для обчислення оцінки середовища та створення пов’язаного вектора середовища.
де AdjustedImpact - скоригований вплив, AdjustedTemporal - скоригована темпоральна метрика, ConfReq - вимоги безпеки до конфіденційності, IntegReq - вимоги безпеки до цілісності, AvailReq - вимоги безпеки до доступності, CollateralDamagePotential - потенціал побічної шкоди, TargetDistribution - розповсюдженість цілей.
Приклад
Якщо вищезгаданий вразливий вебсервер використовувався банком для надання послуг онлайн-банкінгу, а постачальник надав тимчасове виправлення, тоді оцінку середовища можна було б оцінити як:
Метрика | Значення | Опис |
---|---|---|
Потенціал побічної шкоди | Вище середнього | Це значення буде залежати від того, до якої інформації зловмисник може отримати доступ у разі використання вразливої системи. У цьому випадку я припускаю, що деяка особиста банківська інформація є доступною, тому це суттєво впливає на репутацію банку. |
Розповсюдженість цілей | Високий | Усі вебсервери банку працюють із вразливим програмним забезпеченням. |
Вимоги безпеки до конфіденційності | Високий | Клієнти очікують, що їхня банківська інформація буде конфіденційною. |
Вимоги безпеки до цілісності | Високий | Фінансову та особисту інформацію не можна змінювати без дозволу. |
Вимоги безпеки до доступності | Низький | Недоступність послуг онлайн-банкінгу, ймовірно, буде незручністю для клієнтів, але не катастрофічною. |
Це дасть оцінку середовища 8,2 і вектор середовища CDP:MH/TD:H/CR:H/IR:H/AR:L. Цей показник знаходиться в діапазоні 7,0-10,0, і тому є критичною вразливістю в контексті діяльності банку, який постраждав.
Критика версії 2
Декілька постачальників і організацій висловили невдоволення CVSSv2.
Risk Based Security, яка керує базою даних уразливостей з відкритим кодом, і Open Security Foundation спільно опублікували публічний лист до FIRST щодо недоліків і відмов CVSSv2. Автори посилалися на відсутність деталізації в кількох показниках, що призводить до векторів CVSS та оцінок, які не розрізняють належним чином уразливості різного типу та профілів ризику. Також було відзначено, що система оцінки CVSS вимагає занадто багато знань про точний вплив уразливості.
Oracle представила нове значення показника «Частковий+» для конфіденційності, цілісності та доступності, щоб заповнити виявлені прогалини в описі між "частковий" і "повний" в офіційних специфікаціях CVSS.
Версія 3
Щоб відповісти на деякі з цих застережень, у 2012 році було розпочато розробку CVSS версії 3. Остаточну специфікацію було названо CVSS v3.0 і випущено в червні 2015 року. На додаток до Специфікаційного документа, також було випущено посібник користувача та документ із прикладами.
Деякі показники були змінені, додані та вилучені. Числові формули були оновлені, щоб включити нові показники зі збереженням існуючого діапазону оцінок 0-10. Текстові оцінки серйозності: Відсутній (0), Низький (0,1-3,9), Середній (4,0-6,9), Високий (7,0-8,9) і Критичний (9,0-10,0) були визначені, подібно до категорій NVD, визначених для CVSS v2, які не були частиною цього стандарту.
Зміни порівняно з версією 2
Базові показники
У базовому векторі були додані нові показники "Взаємодія з користувачем (UI)" та "Потрібні привілеї (PR)", щоб допомогти розрізнити вразливості, які потребують взаємодії з користувачем, або прав користувача чи адміністратора для використання. Раніше ці поняття були частиною метрики Вектор доступу у CVSSv2. У базовому векторі також була введена нова метрика Обсяг (S), яка була розроблена, щоб пояснити, які вразливості можна експлуатувати, а потім використовувати для атаки на інші частини системи або мережі. Ці нові показники дозволяють базовому вектору більш чітко виражати тип оцінюваної вразливості.
Показники конфіденційності, цілісності та доступності були оновлені, щоб отримати оцінки, що складаються з «Відсутній», «Низький» або «Високий», а не «Відсутній», «Частковий», «Повний» CVSSv2. Це забезпечує більшу гнучкість у визначенні впливу вразливості на показники конфіденційності, цілісності та доступності.
Складність доступу була перейменована в Складність атаки (AC), щоб пояснити, що потрібні привілеї були переміщені в окремий показник. Цей показник тепер описує, наскільки повторюваним може бути використання цієї вразливості; AC є високим, якщо зловмиснику потрібен ідеальний час або інші обставини (окрім взаємодії з користувачем, що також є окремою метрикою), які не можуть бути легко повторені під час майбутніх спроб.
У Векторі атаки (AV) було включено нове значення показника "Фізичний" (P) для опису вразливостей, які потребують фізичного доступу до пристрою або системи.
Темпоральні показники
Темпоральні показники практично не змінилися порівняно з CVSSv2.
Показники середовища
Показники середовища CVSSv2 були повністю вилучені та замінені, по суті, другою базовою оцінкою, відомою як модифікований вектор. База модифікації призначена для відображення відмінностей всередині організації чи компанії порівняно зі світом в цілому. Були додані нові показники для визначення важливості конфіденційності, цілісності та доступності для певного середовища.
Критика версії 3
У дописі в блозі у вересні 2015 року [en] обговорював обмеження CVSSv2 і CVSSv3.0 для використання для оцінки вразливостей у нових технологічних системах, таких як Інтернет речей.
Версія 3.1
Невелике оновлення CVSS було випущено 17 червня 2019 року. Метою CVSS версії 3.1 було роз’яснення та покращення існуючого стандарту CVSS версії 3.0 без введення нових показників чи значень показників, що дозволить безперешкодно прийняти новий стандарт за допомогою як постачальників оцінок, так і споживачів оцінок. Зручність використання була першочерговою метою під час вдосконалення стандарту CVSS. Декілька змін, що вносяться в CVSS версії 3.1, мають покращити чіткість концепцій, запроваджених у CVSS версії 3.0, і таким чином покращити загальну простоту використання стандарту.
FIRST використовує внески експертів у галузі, щоб продовжувати покращувати та вдосконалювати CVSS, щоб бути все більш застосовним до вразливостей, продуктів і платформ, які розроблялися протягом останніх 15 років і далі. Основна мета CVSS полягає в тому, щоб забезпечити детермінований і повторюваний спосіб оцінки серйозності вразливості в багатьох різних групах, дозволяючи споживачам CVSS використовувати цю оцінку як вхідну інформацію для більшої матриці рішень щодо ризику, усунення та пом’якшення, специфічної для особливостей їхнього середовища та толерантності до ризику.
Оновлення специфікації CVSS версії 3.1 включають роз’яснення визначень і пояснення існуючих базових показників, таких як вектор атаки, необхідні привілеї, обсяг і вимоги безпеки. Також було визначено новий стандартний метод розширення CVSS, який називається CVSS Extensions Framework, що дозволяє постачальнику оцінок включати додаткові показники та групи показників, зберігаючи при цьому офіційні базові, темпоральні показники та показники середовища. Додаткові показники дозволяють галузевим секторам, таким як приватність, безпека, автомобілебудування, охорона здоров’я тощо, оцінювати фактори, які виходять за межі основного стандарту CVSS. Нарешті, глосарій термінів CVSS було розширено та вдосконалено, щоб охопити всі терміни, які використовуються в документації CVSS версії 3.1.
Впровадження
Версії CVSS були прийняті як основний метод кількісної оцінки серйозності вразливостей широким колом організацій і компаній, включаючи:
- Національна база даних уразливостей (NVD)
- [en]
- [en] який, зокрема, використовує базові, темпоральні показники та показники середовища CVSSv2.
Див. також
- Common Weakness Enumeration (CWE)
- Common Vulnerabilities and Exposures (CVE)
- (CAPEC)
Примітки
- Common Vulnerability Scoring System, V3 Development Update. First.org, Inc. Архів оригіналу за 8 березня 2022. Процитовано 13 листопада 2015.
- CVSS v1 Archive. First.org, Inc. Архів оригіналу за 21 січня 2022. Процитовано 15 листопада 2015.
- CVSS v2 History. First.org, Inc. Архів оригіналу за 30 жовтня 2020. Процитовано 15 листопада 2015.
- Announcing the CVSS Special Interest Group for CVSS v3 Development. First.org, Inc. Архів оригіналу за 17 лютого 2013. Процитовано 2 березня 2013.
- Common Vulnerability Scoring System, V3 Development Update. First.org, Inc. Архів оригіналу за 8 березня 2022. Процитовано 13 листопада 2015.
- CVSS v2 Complete Documentation. First.org, Inc. Архів оригіналу за 8 березня 2022. Процитовано 15 листопада 2015.
- CVSS - Shortcomings, Faults and Failures (PDF). Risk Based Security. 27 лютого 2013. Архів оригіналу (PDF) за 11 березня 2022. Процитовано 15 листопада 2015.
- CVSS Scoring System. Oracle. 1 червня 2010. Архів оригіналу за 5 вересня 2019. Процитовано 15 листопада 2015.
- CVSS v3,.0 Specification Document. FIRST, Inc. Архів оригіналу за 8 березня 2022. Процитовано 15 листопада 2015.
- Common Vulnerability Scoring System v3.0: Specification Document (Qualitative Severity Rating Scale). First.org. Архів оригіналу за 8 березня 2022. Процитовано 10 січня 2016.
- NVD Common Vulnerability Scoring System Support v2. National Vulnerability Database. National Institute of Standards and Technology. Архів оригіналу за 14 лютого 2017. Процитовано 2 березня 2013.
- CVSS and the Internet of Things. CERT Coordination Center. 2 вересня 2015. Архів оригіналу за 28 липня 2020. Процитовано 15 листопада 2015.
- National Vulnerability Database Home. Nvd.nist.gov. Архів оригіналу за 25 вересня 2011. Процитовано 16 квітня 2013.
- The Open Source Vulnerability Database. OSVDB. Процитовано 16 квітня 2013.
- Vulnerability Severity Using CVSS. CERT Coordination Center. 12 квітня 2012. Архів оригіналу за 28 липня 2020. Процитовано 15 листопада 2015.
Посилання
- The Forum of Incident Response and Security Teams (FIRST) CVSS site [Архівовано 8 березня 2022 у Wayback Machine.]
- National Vulnerability Database (NVD) CVSS site [Архівовано 14 лютого 2017 у Wayback Machine.]
- Common Vulnerability Scoring System v2 Calculator [Архівовано 16 березня 2017 у Wayback Machine.]
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Zagalna sistema ocinki vrazlivostej angl Common Vulnerability Scoring System CVSS ce bezkoshtovnij i vidkritij galuzevij standart dlya ocinki serjoznosti vrazlivostej bezpeki komp yuternoyi sistemi CVSS namagayetsya priznachiti ocinki serjoznosti vrazlivostyam dozvolyayuchi osobam sho reaguyut rozstavlyati prioriteti vidpovidej i resursiv vidpovidno do zagroz Ocinki rozrahovuyutsya na osnovi formuli yaka zalezhit vid kilkoh metrik yaki priblizno opisuyut legkist i vpliv eksplojtu Ocinki kolivayutsya vid 0 do 10 prichomu 10 ye najvazhoyu Hocha bagato hto vikoristovuye lishe bazovu ocinku CVSS dlya viznachennya serjoznosti isnuyut takozh temporalni ocinki ta ocinki seredovisha shob vrahuvati dostupnist pom yakshennya rizikiv ta naskilki shiroko poshireni vrazlivi sistemi v organizaciyi vidpovidno Potochna versiya CVSS CVSSv3 1 bula vipushena v chervni 2019 roku IstoriyaDoslidzhennya en NIAC u 2003 2004 rr prizvelo do zapusku CVSS versiyi 1 CVSSv1 u lyutomu 2005 r z metoyu buti priznachenim dlya nadannya vidkritih i universalnih standartnih rejtingiv serjoznosti vrazlivosti programnogo zabezpechennya Cej pochatkovij proekt ne buv predmetom ekspertnoyi ocinki chi rozglyadu inshimi organizaciyami U kvitni 2005 roku NIAC vibrav Forum komand reaguvannya na incidenti ta bezpeki shob stati zberigachem CVSS dlya majbutnogo rozvitku Vidguki postachalnikiv yaki vikoristovuyut CVSSv1 u virobnictvi pokazali sho buli znachni problemi z pochatkovim proektom CVSS Robota nad versiyeyu CVSS 2 CVSSv2 pochalasya v kvitni 2005 roku a ostatochna specifikaciya bula predstavlena v chervni 2007 roku Podalshi vidguki priveli do pochatku roboti nad CVSS versiyi 3 u 2012 roci sho zakinchilos vipuskom CVSSv3 0 u chervni 2015 roku TerminologiyaOcinka CVSS viznachaye tri problemni pitannya Bazovi pokazniki dlya yakostej pritamannih urazlivosti Temporalni chasovi metriki dlya harakteristik yaki zminyuyutsya protyagom zhittyevogo ciklu vrazlivosti Metriki seredovisha dlya vrazlivostej yaki zalezhat vid konkretnoyi realizaciyi abo seredovisha Dlya kozhnoyi z cih grup pokaznikiv stvoryuyetsya chislova ocinka Vektornij ryadok abo prosto vektor u CVSSv2 predstavlyaye znachennya vsih pokaznikiv u viglyadi bloku tekstu Versiya 2Povnu dokumentaciyu dlya CVSSv2 mozhna otrimati na sajti FIRST Nizhche navedeno rezyume Bazovi pokazniki Vektor dostupu Vektor dostupu AV pokazuye yak mozhe buti vikoristana vrazlivist Znachennya Opis Balli Lokalna L Zlovmisnik povinen mati fizichnij dostup do vrazlivoyi sistemi napriklad ataki na FireWire abo lokalnij oblikovij zapis napriklad ataka z pidvishennyam privileyiv 0 395 Susidnya merezha A Zlovmisnik povinen mati dostup do shirokomovnogo domenu abo domenu kolizij urazlivoyi sistemi napriklad pidrobka ARP ataki Bluetooth 0 646 Merezha N Urazlivij interfejs pracyuye na rivni 3 abo vishe merezhevogo steka OSI Ci tipi vrazlivostej chasto opisuyut yak viddaleno ekspluatovani napriklad viddalene perepovnennya bufera v merezhevij sluzhbi 1 0 Skladnist dostupu Pokaznik skladnosti dostupu AC opisuye naskilki legko abo vazhko vikoristovuvati viyavlenu vrazlivist Znachennya Opis Balli Visoka H Isnuyut specialni umovi napriklad stan gonitvi z vuzkim viknom abo potreba u metodah socialnoyi inzheneriyi yaki legko pomityat obiznani lyudi 0 35 Pomirna M Isnuyut dodatkovi vimogi do ataki napriklad obmezhennya dzherela ataki abo vimoga shob urazliva sistema pracyuvala z nezvichajnoyu konfiguraciyeyu yaka ne ye konfiguraciyeyu za zamovchuvannyam 0 61 Nizka L Nemaye osoblivih umov dlya vikoristannya urazlivosti napriklad koli sistema dostupna dlya velikoyi kilkosti koristuvachiv abo vrazliva konfiguraciya rozpovsyudzhena 0 71 Avtentifikaciya Pokaznik avtentifikaciyi Au opisuye kilkist raziv koli zlovmisnik povinen avtentifikuvatisya na cili shob skoristatisya vrazlivistyu Vin ne vklyuchaye napriklad avtentifikaciyu v merezhi dlya otrimannya dostupu Dlya vrazlivostej yaki mozhna vikoristovuvati lokalno ce znachennya maye buti vstanovlene na Odinochna abo Mnozhinna lishe yaksho pislya pochatkovogo dostupu potribna podalsha avtentifikaciya Znachennya Opis Balli Mnozhinna M Vikoristannya vrazlivosti vimagaye vid zlovmisnika avtentifikaciyi dvichi abo bilshe raziv navit yaksho kozhen raz vikoristovuyutsya odni j ti zh oblikovi dani 0 45 Odinochna S Zlovmisnik povinen projti avtentifikaciyu odin raz shob vikoristati vrazlivist 0 56 Vidsutnya N Zlovmisnik ne potrebuye avtentifikaciyi 0 704 Metriki vplivu Konfidencijnist Pokaznik konfidencijnosti C opisuye vpliv na konfidencijnist danih sho obroblyayutsya sistemoyu Znachennya Opis Balli Vidsutnij N Vidsutnij vpliv na konfidencijnist sistemi 0 0 Chastkovij P Vidbuvayetsya znachne rozkrittya informaciyi ale masshtabi vtrati obmezheni takim chinom sho dostupni ne vsi dani 0 275 Povnij C Vidbuvayetsya povne rozkrittya informaciyi nadannya dostupu do bud yakih vsih danih v sistemi Krim togo zastosovuyetsya yaksho mozhna otrimati dostup lishe do pevnoyi informaciyi z obmezhenim dostupom ale rozkrita informaciya maye pryamij serjoznij vpliv 0 660 Cilisnist Pokaznik Cilisnist I opisuye vpliv na cilisnist ekspluatovanoyi sistemi Znachennya Opis Balli Vidsutnij N Vidsutnij vpliv na cilisnist sistemi 0 0 Chastkovij P Mozhliva zmina deyakih danih abo sistemnih fajliv ale obsyag modifikaciyi obmezhenij 0 275 Povnij C Vidbuvayetsya povna vtrata cilisnosti zlovmisnik mozhe zminiti bud yaki fajli abo informaciyu v cilovij sistemi 0 660 Dostupnist Pokaznik dostupnosti A opisuye vpliv na dostupnist cilovoyi sistemi Ataki yaki spozhivayut propusknu zdatnist merezhi cikli procesora pam yat abo bud yaki inshi resursi vplivayut na dostupnist sistemi Znachennya Opis Balli Vidsutnij N Vidsutnij vpliv na dostupnist sistemi 0 0 Chastkovij P Znizhena produktivnist abo vtrata deyakih funkcij 0 275 Povnij C Vidbuvayetsya povna vtrata dostupnosti atakovanogo resursu 0 660 Rozrahunki Ci shist metrik vikoristovuyutsya dlya rozrahunku mozhlivosti ekspluataciyi Exploitability ta vplivu Impact vrazlivosti Ci chastkovi ocinki vikoristovuyutsya dlya obchislennya zagalnoyi bazovoyi ocinki Exploitability 20 AccessVector AccessComplexity Authentication displaystyle textsf Exploitability 20 times textsf AccessVector times textsf AccessComplexity times textsf Authentication Impact 10 41 1 1 ConfImpact 1 IntegImpact 1 AvailImpact displaystyle textsf Impact 10 41 times 1 1 textsf ConfImpact times 1 textsf IntegImpact times 1 textsf AvailImpact f Impact 0 yaksho Impact 0 1 176 u inshomu vipadku displaystyle f textsf Impact begin cases 0 amp text yaksho textsf Impact text 0 1 176 amp text u inshomu vipadku end cases BaseScore roundTo1Decimal 0 6 Impact 0 4 Exploitability 1 5 f Impact displaystyle textsf BaseScore textsf roundTo1Decimal 0 6 times textsf Impact 0 4 times textsf Exploitability 1 5 times f textsf Impact de AccessVector znachennya metriki vektor dostupu AccessComplexity znachennya metriki skladnist dostupu Authentication znachennya metriki avtentifikaciya ConfImpact vpliv na konfidencijnist IntegImpact vpliv na cilisnist AvailImpact vpliv na dostupnist roundTo1Decimal funkciya okruglennya do 1 desyatkovogo znaka pislya komi BaseScore bazova ocinka Pokazniki pidlyagayut konkatenaciyi shob stvoriti vektor CVSS dlya vrazlivosti Priklad Urazlivist perepovnennya bufera vplivaye na programne zabezpechennya vebservera ce dozvolyaye viddalenomu koristuvachevi otrimati chastkovij kontrol nad sistemoyu vklyuchayuchi mozhlivist yiyi vimikannya Metrika Znachennya Opis Vektor dostupu Merezha Do vrazlivosti mozhna otrimati dostup z bud yakoyi merezhi yaka mozhe otrimati dostup do cilovoyi sistemi yak pravilo z usogo Internetu Skladnist dostupu Nizka Osoblivih vimog do dostupu nemaye Avtentifikaciya Vidsutnya Dlya vikoristannya urazlivosti ne vimagayetsya avtentifikaciya Konfidencijnist Chastkovij Zlovmisnik mozhe prochitati deyaki fajli ta dani v sistemi Cilisnist Chastkovij Zlovmisnik mozhe zminiti deyaki fajli ta dani v sistemi Dostupnist Chastkovij Zlovmisnik mozhe prizvesti do togo sho sistema ta vebsluzhba stanut nedostupnimi abo perestanut reaguvati vimknuvshi sistemu Ce dast 10 baliv shodo mozhlivosti ekspluataciyi ta 8 5 bala vplivu sho dast zagalnij bazovij bal 9 0 Vektor dlya bazovoyi ocinki v comu vipadku bude AV N AC L Au N C P I P A C Ocinka ta vektor zazvichaj predstavleni razom shob dozvoliti recipiyentu povnistyu zrozumiti prirodu vrazlivosti ta rozrahuvati vlasnu ocinku seredovisha yaksho neobhidno Temporalni metriki Znachennya temporalnih metrik zminyuyetsya protyagom zhittya vrazlivosti oskilki eksplojti rozroblyayutsya rozkrivayutsya j avtomatizuyutsya a takozh stayut dostupnimi zasobi pom yakshennya ta vipravlennya Ekspluatabelnist Pokaznik mozhlivosti ekspluatabelnosti E opisuye potochnij stan metodiv ekspluataciyi abo avtomatizovanogo kodu dlya ekspluataciyi Znachennya Opis Balli Ne dovedeno U Kod eksplojtu vidsutnij abo eksplojt ye teoretichnim 0 85 Dokaz koncepciyi P Kod eksplojtu dlya pidtverdzhennya koncepciyi abo demonstracijni ataki dostupni ale ne praktichni dlya shirokogo vikoristannya Ne pracyuye proti vsih vipadkiv urazlivosti 0 9 Funkcionalnij F Funkcionalnij kod eksplojta dostupnij i pracyuye v bilshosti situacij de ye urazlivist 0 95 Visokij H Urazlivist mozhe buti vikoristana za dopomogoyu avtomatizovanogo kodu vklyuchayuchi mobilnij kod napriklad hrobak abo virus 1 0 Ne viznacheno ND Ce signal ignoruvati cej pokaznik 1 0 Riven vidnovlennya Riven usunennya RL urazlivosti dozvolyaye zniziti temporalnu ocinku vrazlivosti oskilki budut dostupni zasobi pom yakshennya ta oficijni vipravlennya Znachennya Opis Balli Oficijne vipravlennya O Dostupne povne rishennya postachalnika abo vipravlennya abo onovlennya 0 87 Timchasove vipravlennya T Vid postachalnika ye oficijne ale timchasove vipravlennya pom yakshennya 0 90 Obhidnij shlyah W Isnuye neoficijne rishennya yake ne ye postachalnikom abo dostupne pom yakshennya mozhlivo rozroblene abo zaproponovane koristuvachami produktu chi inshoyu tretoyu storonoyu 0 95 Nedostupne U Nemaye dostupnogo rishennya abo nemozhlivo zastosuvati zaproponovane rishennya Ce zvichajnij pochatkovij stan rivnya vipravlennya koli viyavleno vrazlivist 1 0 Ne viznacheno ND Ce signal ignoruvati cej pokaznik 1 0 Vpevnenist u zviti Vpevnenist u zviti RC pro vrazlivist vimiryuye riven vpevnenosti v isnuvanni vrazlivosti a takozh dostovirnist tehnichnih detalej urazlivosti Znachennya Opis Balli Ne pidtverdzheno UC Odne nepidtverdzhene dzherelo abo kilka konfliktuyuchih dzherel Urazlivist za chutkami 0 9 Ne vpevneno UR Kilka dzherel yaki v cilomu pogodzhuyutsya mozhe zalishatisya pevnij riven neviznachenosti shodo vrazlivosti 0 95 Pidtverdzheno C Viznano ta pidtverdzheno postachalnikom abo virobnikom produktu na yakij vplivaye 1 0 Ne viznacheno ND Ce signal ignoruvati cej pokaznik 1 0 Rozrahunki Ci tri pokazniki vikoristovuyutsya razom iz bazovoyu ocinkoyu yaka vzhe bula rozrahovana dlya otrimannya temporalnoyi ocinki vrazlivosti z pov yazanim iz neyu vektorom Formula yaka vikoristovuyetsya dlya obchislennya temporalnoyi ocinki TemporalScore roundTo1Decimal BaseScore Exploitability RemediationLevel ReportConfidence displaystyle textsf TemporalScore textsf roundTo1Decimal textsf BaseScore times textsf Exploitability times textsf RemediationLevel times textsf ReportConfidence de TemporalScore temporalna ocinka BaseScore bazova ocinka Exploitability ekspluatabelnist RemediationLevel riven vidnovlennya ReportConfidence vpevnenist u zviti Priklad Shob prodovzhiti navedenij vishe priklad yaksho postachalnika vpershe povidomili pro vrazlivist shlyahom opublikuvannya kodu z pidtverdzhennyam koncepciyi v spisku rozsilki pochatkova temporalna ocinka bude rozrahovana za dopomogoyu znachen navedenih nizhche Metrika Znachennya Opis Ekspluatabelnist Dokaz koncepciyi Pidtverdzhennya koncepciyi neavtomatichnij kod nadayetsya dlya demonstraciyi osnovnih funkcij eksplojtu Riven vidnovlennya Nedostupne Postachalnik she ne mav mozhlivosti nadati pom yakshennya chi vipravlennya Vpevnenist u zviti Ne pidtverdzheno Bulo yedine povidomlennya pro vrazlivist Ce dalo b temporalnu ocinku 7 3 z temporalnim vektorom E P RL U RC UC abo povnim vektorom AV N AC L Au N C P I P A C E P RL U RC UC Yaksho postachalnik pidtverdit urazlivist ocinka pidvishuyetsya do 8 1 z temporalnim vektorom E P RL U RC C Timchasove vipravlennya vid postachalnika zmenshit ocinku do 7 3 E P RL T RC C todi yak oficijne vipravlennya zmenshit yiyi she do 7 0 E P RL O RC C Oskilki nemozhlivo buti vpevnenim sho kozhna urazhena sistema bula vipravlena abo vipravlena temporalna ocinka ne mozhe znizitisya nizhche pevnogo rivnya na osnovi dij postachalnika i mozhe zbilshitisya yaksho bude rozrobleno avtomatizovanij eksplojt dlya vrazlivosti Metriki seredovisha Metriki seredovisha vikoristovuyut bazovu ta potochnu temporalnu ocinku dlya ocinki serjoznosti vrazlivosti v konteksti sposobu rozgortannya vrazlivogo produktu abo programnogo zabezpechennya Cej pokaznik rozrahovuyetsya sub yektivno yak pravilo urazhenimi storonami Potencial pobichnoyi shkodi Potencial pobichnoyi shkodi CDP vimiryuye potencijnu vtratu abo vpliv na taki fizichni aktivi yak obladnannya i zhittya abo finansovij vpliv na organizaciyu yaka postrazhdala yaksho vrazlivist bude vikoristana Znachennya Opis Balli Vidsutnij N Nemaye mozhlivosti vtrati vlasnosti dohodu chi produktivnosti 0 Nizkij L Nevelike poshkodzhennya aktiviv abo neznachna vtrata dohodu chi produktivnosti 0 1 Nizhche serednogo LM Pomirni poshkodzhennya abo vtrati 0 3 Vishe serednogo MH Znachni poshkodzhennya abo vtrati 0 4 Visokij H Katastrofichnij zbitok abo vtrata 0 5 Ne viznacheno ND Ce signal ignoruvati cej pokaznik 0 Rozpovsyudzhenist cilej Pokaznik rozpovsyudzhennosti cilej TD vimiryuye chastku vrazlivih sistem u seredovishi Znachennya Opis Balli Vidsutnij N Cilovih sistem ne isnuye abo voni isnuyut lishe v laboratornih umovah 0 Nizkij L 1 25 sistem pid zagrozoyu 0 25 Pomirnij M 26 75 sistem pid zagrozoyu 0 75 Visokij H 76 100 sistem pid zagrozoyu 1 0 Ne viznacheno ND Ce signal ignoruvati cej pokaznik 1 0 Modifikator pidrahunku vplivu She tri pokazniki ocinyuyut konkretni vimogi bezpeki do konfidencijnosti CR cilisnosti IR ta dostupnosti AR sho dozvolyaye tochno nalashtuvati ocinku seredovisha vidpovidno do seredovisha koristuvachiv Znachennya Opis Balli Nizkij L Vtrata konfidencijnosti cilisnosti dostupnosti mozhe mati lishe obmezhenij vpliv na organizaciyu 0 5 Pomirnij M Vtrata konfidencijnosti cilisnosti dostupnosti mozhe mati serjoznij vpliv na organizaciyu 1 0 Visokij H Vtrata konfidencijnosti cilisnosti dostupnosti mozhe mati katastrofichnij vpliv na organizaciyu 1 51 Ne viznacheno ND Ce signal ignoruvati cej pokaznik 1 0 Rozrahunki P yat pokaznikiv seredovisha vikoristovuyutsya razom iz poperedno ocinenimi bazovimi ta temporalnimi pokaznikami dlya obchislennya ocinki seredovisha ta stvorennya pov yazanogo vektora seredovisha AdjustedImpact min 10 10 41 1 1 ConfImpact ConfReq 1 IntegImpact IntegReq 1 AvailImpact AvailReq displaystyle textsf AdjustedImpact min 10 10 41 times 1 1 textsf ConfImpact times textsf ConfReq times 1 textsf IntegImpact times textsf IntegReq times 1 textsf AvailImpact times textsf AvailReq AdjustedTemporal TemporalScore recomputed with the BaseScore s Impact sub equation replaced with the AdjustedImpact equation displaystyle textsf AdjustedTemporal textsf TemporalScore text recomputed with the textsf BaseScore text s textsf Impact text sub equation replaced with the textsf AdjustedImpact text equation EnvironmentalScore roundTo1Decimal AdjustedTemporal 10 AdjustedTemporal CollateralDamagePotential TargetDistribution displaystyle textsf EnvironmentalScore textsf roundTo1Decimal textsf AdjustedTemporal 10 textsf AdjustedTemporal times textsf CollateralDamagePotential times textsf TargetDistribution de AdjustedImpact skorigovanij vpliv AdjustedTemporal skorigovana temporalna metrika ConfReq vimogi bezpeki do konfidencijnosti IntegReq vimogi bezpeki do cilisnosti AvailReq vimogi bezpeki do dostupnosti CollateralDamagePotential potencial pobichnoyi shkodi TargetDistribution rozpovsyudzhenist cilej Priklad Yaksho vishezgadanij vrazlivij vebserver vikoristovuvavsya bankom dlya nadannya poslug onlajn bankingu a postachalnik nadav timchasove vipravlennya todi ocinku seredovisha mozhna bulo b ociniti yak Metrika Znachennya Opis Potencial pobichnoyi shkodi Vishe serednogo Ce znachennya bude zalezhati vid togo do yakoyi informaciyi zlovmisnik mozhe otrimati dostup u razi vikoristannya vrazlivoyi sistemi U comu vipadku ya pripuskayu sho deyaka osobista bankivska informaciya ye dostupnoyu tomu ce suttyevo vplivaye na reputaciyu banku Rozpovsyudzhenist cilej Visokij Usi vebserveri banku pracyuyut iz vrazlivim programnim zabezpechennyam Vimogi bezpeki do konfidencijnosti Visokij Kliyenti ochikuyut sho yihnya bankivska informaciya bude konfidencijnoyu Vimogi bezpeki do cilisnosti Visokij Finansovu ta osobistu informaciyu ne mozhna zminyuvati bez dozvolu Vimogi bezpeki do dostupnosti Nizkij Nedostupnist poslug onlajn bankingu jmovirno bude nezruchnistyu dlya kliyentiv ale ne katastrofichnoyu Ce dast ocinku seredovisha 8 2 i vektor seredovisha CDP MH TD H CR H IR H AR L Cej pokaznik znahoditsya v diapazoni 7 0 10 0 i tomu ye kritichnoyu vrazlivistyu v konteksti diyalnosti banku yakij postrazhdav Kritika versiyi 2 Dekilka postachalnikiv i organizacij vislovili nevdovolennya CVSSv2 Risk Based Security yaka keruye bazoyu danih urazlivostej z vidkritim kodom i Open Security Foundation spilno opublikuvali publichnij list do FIRST shodo nedolikiv i vidmov CVSSv2 Avtori posilalisya na vidsutnist detalizaciyi v kilkoh pokaznikah sho prizvodit do vektoriv CVSS ta ocinok yaki ne rozriznyayut nalezhnim chinom urazlivosti riznogo tipu ta profiliv riziku Takozh bulo vidznacheno sho sistema ocinki CVSS vimagaye zanadto bagato znan pro tochnij vpliv urazlivosti Oracle predstavila nove znachennya pokaznika Chastkovij dlya konfidencijnosti cilisnosti ta dostupnosti shob zapovniti viyavleni progalini v opisi mizh chastkovij i povnij v oficijnih specifikaciyah CVSS Versiya 3Shob vidpovisti na deyaki z cih zasterezhen u 2012 roci bulo rozpochato rozrobku CVSS versiyi 3 Ostatochnu specifikaciyu bulo nazvano CVSS v3 0 i vipusheno v chervni 2015 roku Na dodatok do Specifikacijnogo dokumenta takozh bulo vipusheno posibnik koristuvacha ta dokument iz prikladami Deyaki pokazniki buli zmineni dodani ta vilucheni Chislovi formuli buli onovleni shob vklyuchiti novi pokazniki zi zberezhennyam isnuyuchogo diapazonu ocinok 0 10 Tekstovi ocinki serjoznosti Vidsutnij 0 Nizkij 0 1 3 9 Serednij 4 0 6 9 Visokij 7 0 8 9 i Kritichnij 9 0 10 0 buli viznacheni podibno do kategorij NVD viznachenih dlya CVSS v2 yaki ne buli chastinoyu cogo standartu Zmini porivnyano z versiyeyu 2 Bazovi pokazniki U bazovomu vektori buli dodani novi pokazniki Vzayemodiya z koristuvachem UI ta Potribni privileyi PR shob dopomogti rozrizniti vrazlivosti yaki potrebuyut vzayemodiyi z koristuvachem abo prav koristuvacha chi administratora dlya vikoristannya Ranishe ci ponyattya buli chastinoyu metriki Vektor dostupu u CVSSv2 U bazovomu vektori takozh bula vvedena nova metrika Obsyag S yaka bula rozroblena shob poyasniti yaki vrazlivosti mozhna ekspluatuvati a potim vikoristovuvati dlya ataki na inshi chastini sistemi abo merezhi Ci novi pokazniki dozvolyayut bazovomu vektoru bilsh chitko virazhati tip ocinyuvanoyi vrazlivosti Pokazniki konfidencijnosti cilisnosti ta dostupnosti buli onovleni shob otrimati ocinki sho skladayutsya z Vidsutnij Nizkij abo Visokij a ne Vidsutnij Chastkovij Povnij CVSSv2 Ce zabezpechuye bilshu gnuchkist u viznachenni vplivu vrazlivosti na pokazniki konfidencijnosti cilisnosti ta dostupnosti Skladnist dostupu bula perejmenovana v Skladnist ataki AC shob poyasniti sho potribni privileyi buli peremisheni v okremij pokaznik Cej pokaznik teper opisuye naskilki povtoryuvanim mozhe buti vikoristannya ciyeyi vrazlivosti AC ye visokim yaksho zlovmisniku potriben idealnij chas abo inshi obstavini okrim vzayemodiyi z koristuvachem sho takozh ye okremoyu metrikoyu yaki ne mozhut buti legko povtoreni pid chas majbutnih sprob U Vektori ataki AV bulo vklyucheno nove znachennya pokaznika Fizichnij P dlya opisu vrazlivostej yaki potrebuyut fizichnogo dostupu do pristroyu abo sistemi Temporalni pokazniki Temporalni pokazniki praktichno ne zminilisya porivnyano z CVSSv2 Pokazniki seredovisha Pokazniki seredovisha CVSSv2 buli povnistyu vilucheni ta zamineni po suti drugoyu bazovoyu ocinkoyu vidomoyu yak modifikovanij vektor Baza modifikaciyi priznachena dlya vidobrazhennya vidminnostej vseredini organizaciyi chi kompaniyi porivnyano zi svitom v cilomu Buli dodani novi pokazniki dlya viznachennya vazhlivosti konfidencijnosti cilisnosti ta dostupnosti dlya pevnogo seredovisha Kritika versiyi 3 U dopisi v blozi u veresni 2015 roku en obgovoryuvav obmezhennya CVSSv2 i CVSSv3 0 dlya vikoristannya dlya ocinki vrazlivostej u novih tehnologichnih sistemah takih yak Internet rechej Versiya 3 1Nevelike onovlennya CVSS bulo vipusheno 17 chervnya 2019 roku Metoyu CVSS versiyi 3 1 bulo roz yasnennya ta pokrashennya isnuyuchogo standartu CVSS versiyi 3 0 bez vvedennya novih pokaznikiv chi znachen pokaznikiv sho dozvolit bezpereshkodno prijnyati novij standart za dopomogoyu yak postachalnikiv ocinok tak i spozhivachiv ocinok Zruchnist vikoristannya bula pershochergovoyu metoyu pid chas vdoskonalennya standartu CVSS Dekilka zmin sho vnosyatsya v CVSS versiyi 3 1 mayut pokrashiti chitkist koncepcij zaprovadzhenih u CVSS versiyi 3 0 i takim chinom pokrashiti zagalnu prostotu vikoristannya standartu FIRST vikoristovuye vneski ekspertiv u galuzi shob prodovzhuvati pokrashuvati ta vdoskonalyuvati CVSS shob buti vse bilsh zastosovnim do vrazlivostej produktiv i platform yaki rozroblyalisya protyagom ostannih 15 rokiv i dali Osnovna meta CVSS polyagaye v tomu shob zabezpechiti determinovanij i povtoryuvanij sposib ocinki serjoznosti vrazlivosti v bagatoh riznih grupah dozvolyayuchi spozhivacham CVSS vikoristovuvati cyu ocinku yak vhidnu informaciyu dlya bilshoyi matrici rishen shodo riziku usunennya ta pom yakshennya specifichnoyi dlya osoblivostej yihnogo seredovisha ta tolerantnosti do riziku Onovlennya specifikaciyi CVSS versiyi 3 1 vklyuchayut roz yasnennya viznachen i poyasnennya isnuyuchih bazovih pokaznikiv takih yak vektor ataki neobhidni privileyi obsyag i vimogi bezpeki Takozh bulo viznacheno novij standartnij metod rozshirennya CVSS yakij nazivayetsya CVSS Extensions Framework sho dozvolyaye postachalniku ocinok vklyuchati dodatkovi pokazniki ta grupi pokaznikiv zberigayuchi pri comu oficijni bazovi temporalni pokazniki ta pokazniki seredovisha Dodatkovi pokazniki dozvolyayut galuzevim sektoram takim yak privatnist bezpeka avtomobilebuduvannya ohorona zdorov ya tosho ocinyuvati faktori yaki vihodyat za mezhi osnovnogo standartu CVSS Nareshti glosarij terminiv CVSS bulo rozshireno ta vdoskonaleno shob ohopiti vsi termini yaki vikoristovuyutsya v dokumentaciyi CVSS versiyi 3 1 VprovadzhennyaVersiyi CVSS buli prijnyati yak osnovnij metod kilkisnoyi ocinki serjoznosti vrazlivostej shirokim kolom organizacij i kompanij vklyuchayuchi Nacionalna baza danih urazlivostej NVD en en yakij zokrema vikoristovuye bazovi temporalni pokazniki ta pokazniki seredovisha CVSSv2 Div takozhCommon Weakness Enumeration CWE Common Vulnerabilities and Exposures CVE CAPEC PrimitkiCommon Vulnerability Scoring System V3 Development Update First org Inc Arhiv originalu za 8 bereznya 2022 Procitovano 13 listopada 2015 CVSS v1 Archive First org Inc Arhiv originalu za 21 sichnya 2022 Procitovano 15 listopada 2015 CVSS v2 History First org Inc Arhiv originalu za 30 zhovtnya 2020 Procitovano 15 listopada 2015 Announcing the CVSS Special Interest Group for CVSS v3 Development First org Inc Arhiv originalu za 17 lyutogo 2013 Procitovano 2 bereznya 2013 Common Vulnerability Scoring System V3 Development Update First org Inc Arhiv originalu za 8 bereznya 2022 Procitovano 13 listopada 2015 CVSS v2 Complete Documentation First org Inc Arhiv originalu za 8 bereznya 2022 Procitovano 15 listopada 2015 CVSS Shortcomings Faults and Failures PDF Risk Based Security 27 lyutogo 2013 Arhiv originalu PDF za 11 bereznya 2022 Procitovano 15 listopada 2015 CVSS Scoring System Oracle 1 chervnya 2010 Arhiv originalu za 5 veresnya 2019 Procitovano 15 listopada 2015 CVSS v3 0 Specification Document FIRST Inc Arhiv originalu za 8 bereznya 2022 Procitovano 15 listopada 2015 Common Vulnerability Scoring System v3 0 Specification Document Qualitative Severity Rating Scale First org Arhiv originalu za 8 bereznya 2022 Procitovano 10 sichnya 2016 NVD Common Vulnerability Scoring System Support v2 National Vulnerability Database National Institute of Standards and Technology Arhiv originalu za 14 lyutogo 2017 Procitovano 2 bereznya 2013 CVSS and the Internet of Things CERT Coordination Center 2 veresnya 2015 Arhiv originalu za 28 lipnya 2020 Procitovano 15 listopada 2015 National Vulnerability Database Home Nvd nist gov Arhiv originalu za 25 veresnya 2011 Procitovano 16 kvitnya 2013 The Open Source Vulnerability Database OSVDB Procitovano 16 kvitnya 2013 Vulnerability Severity Using CVSS CERT Coordination Center 12 kvitnya 2012 Arhiv originalu za 28 lipnya 2020 Procitovano 15 listopada 2015 PosilannyaThe Forum of Incident Response and Security Teams FIRST CVSS site Arhivovano 8 bereznya 2022 u Wayback Machine National Vulnerability Database NVD CVSS site Arhivovano 14 lyutogo 2017 u Wayback Machine Common Vulnerability Scoring System v2 Calculator Arhivovano 16 bereznya 2017 u Wayback Machine