Domande con tag 'cvss'

3
risposte

Chiarimenti relativi al CVSS

Sarà felice per 2 chiarimenti riguardo CVSS: 1) Cosa è meglio per i riferimenti? CVSSv2 o CVSSv3? V3 è nuovo, ma V2 è maturo. 2) Perché ci sono differenze nei punteggi CVSS tra il repository NIST NVD e il repository Red Hat? Ad esempio:...
posta 06.09.2017 - 09:23
1
risposta

Che cosa significa "scope" in CVSS v3?

In CVSS v3, l '"ambito" indica se una vulnerabilità in un'applicazione incide sulle risorse oltre le sue possibilità. Può avere i valori "modificato" o "invariato". Non capisco perfettamente quando lo scope è cambiato. Ad esempio, negli esem...
posta 06.06.2017 - 14:49
2
risposte

punteggio di impatto CVSS3.0 e punteggio di sfruttabilità

Ho qualche problema nel calcolare i punteggi CVSS v3.0 in alcuni risultati che ho riscontrato. In particolare, una scoperta è una semplice divulgazione di informazioni sul server tramite pagine di errore predefinite. È molto simile al seguent...
posta 25.09.2018 - 08:46
1
risposta

Test di penetrazione dell'ambiente IaaS / PaaS - Punteggio CVSS

Come posso misurare l'efficacia di un test di penetrazione eseguito in un ambiente cloud (IaaS / PaaS) da un fornitore di terze parti? Dovrei chiedere un punteggio CVSS o qualcos'altro? Qualsiasi consiglio sarà molto apprezzato.     
posta 21.05.2018 - 03:04
1
risposta

Qual è il modo corretto per comprendere la complessità degli accessi in CVSS

Ho letto Access Complexity da NVD ( link ), [Access Complexity] This metric measures the complexity of the attack required to exploit the vulnerability once an attacker has gained access to the target system. Medium (M) : Some i...
posta 23.03.2016 - 17:12
1
risposta

Perché CVE-2017-5461 è classificato come critico con punteggio CVSS 9,8?

Qualche tempo fa mi sono imbattuto in questo CVE-2017-5461, che è valutato 9,8 sia su NVD e Portale Redhat , con una stringa di base CVSS di CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H per coloro che non hanno molta familiarità con i...
posta 08.05.2018 - 07:47
1
risposta

Il punteggio CVSS può essere diverso da quello calcolato dal vettore

Nella maggior parte dei database, ci sono due campi: vettore CVSS e punteggio CVSS. È logico che se calcoliamo il punteggio dal vettore, dovrebbe essere uguale al campo del punteggio. Ma può essere "sintonizzato" manualmente e quindi essere dive...
posta 18.09.2017 - 19:13
1
risposta

Relazione funzionale formale tra rischio e CVSS

Il Sistema di valutazione delle vulnerabilità comuni (CVSS) consente, tra le altre cose, di quantificare la gravità delle vulnerabilità del software. Qual è la relazione funzionale tra un CVSS e il rischio associato? In altre parole, quale...
posta 31.07.2015 - 08:56
2
risposte

Esiste un CVE o CVSS per l'enumerazione delle porte?

Diciamo che esiste una società che non ha un firewall ed è possibile eseguire un'enumerazione di porte e servizi. Potrebbe essere considerata una vulnerabilità se fornisce informazioni sulle impronte digitali? O si considera solo una vulnerab...
posta 28.03.2018 - 10:31
1
risposta

Feed di vulnerabilità pubblica con CVSS v3

NIST NVD pubblica feed XML di CVE ma, per quanto mi riguarda, solo con i vettori CVSS v2. I risultati CVSS v3 sono disponibili sul portale web. Sono disponibili dati aggiornati, elaborati e non elaborati sui CVE con metriche di base CVSS v3?...
posta 19.04.2017 - 13:07