Perché il logjam è classificato come "Nessuno" per l'impatto della riservatezza nel CVSS?

4

Il CVSS punteggio per Logjam è (AV: N / AC: M / Au: N / C: N / I: P / A:. N)

Comenotatoinquellabellainterpretazionedell'immaginedinamica,lametricaImpatto"Riservatezza" è descritta come "Nessuna" ( C: N ).

Ma la descrizione di Logjam rileva " c'è un avversario di rete passivo in grado di origliare " per Attacco 1 e ha un video che mostra il testo in chiaro di un post su un sito dell'FBI. Sicuramente merita almeno un parziale impatto di confidenzialità C / P) .

E naturalmente se questo o gli attacchi di impersonificazione possono essere utilizzati contro l'utente giusto, è anche possibile ottenere il pieno accesso alle informazioni sulla riservatezza, integrità e disponibilità del server. Ma immagino che non contino quegli attacchi successivi.

    
posta nealmcb 30.06.2015 - 21:35
fonte

1 risposta

3

Non posso dirti come è nato NVD, chiamiamolo valutazione di base. Ma posso dirti che non tutti i venditori hanno seguito quella valutazione di base.

Sondaggio valutazioni

Non capisco neanche la linea di base.

FIRST.org fornisce alcuni esempi CVSS su come si suppone che i giocatori ottengano un punteggio. Suppongo che per questi esempi siano stati prudentemente valutati correttamente.

Vengono valutati usando sia CVSS v2 che CVSS v3.

E elencano due vulnerabilità SSL / TLS. Numero 3, che è POODLE. E il numero 20, che è una vulnerabilità di ChangeChiperSpec. Entrambi segnano "C: P (parziale)" in CVSS v2.

Seguendo questi esempi segnerei Logjam anche come C: P. NVD non ha. Non so perché.

Modifica cronologia

Per la lunga e contorta evoluzione di questo post, consulta la modifica della cronologia .

    
risposta data 30.06.2015 - 22:14
fonte

Leggi altre domande sui tag