iT邦幫忙

2023 iThome 鐵人賽

DAY 6
0

說明

通常我們都會以CVSS分數決定等級處理,來仔細看一下說明
https://nvd.nist.gov/vuln-metrics/cvss

The Common Vulnerability Scoring System (CVSS) is a method used to supply a qualitative measure of severity.

是定性測量(qualitative measure),隨然有分數(定量),但最終分數可因環境等因素,人為修改分數

CVSS is not a measure of risk.

要注意,CVSS 不測量漏洞實際帶來的風險。它評估漏洞的嚴重性

CVSS consists of three metric groups: Base, Temporal, and Environmental.

我們看到的數字是Base,沒有包含環境等變因

方式

CVE CVSS3 Description
CVE-2023-26369 7.8 Acrobat Reader out-of-bounds write vulnerability

CVE-2023-26369,cvss評分7.8
https://nvd.nist.gov/vuln/detail/CVE-2023-26369
https://ithelp.ithome.com.tw/upload/images/20230920/200777529zAwCaQI6B.png

在Tenable(VPR)評分9.2,
https://www.tenable.com/plugins/nessus/181276SADFAS
從記錄中看到
https://ithelp.ithome.com.tw/upload/images/20230920/20077752xs8wfoeAaR.png
版本1.2
Exploit available" set to "True 表示可被利用

版本1.3
STIG Severity (set to "I") 美國國防部的安全技術實施指南將該問題列為一類(直接立即導致機密性、可用性或完整性喪失的任何漏洞)

結論

參考商用軟體,他們把是否被利用當作調高分數的依據,的確如果一般駭客都可以從Github等管道拿到攻擊程式,就可能有更多人去做刺探場域是否有該問題,另外是否會影響C.I.A,也可以自己在判斷時也可以將此列入分數調整依據

可以用以下計算機去修改成符合自己環境的分數
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-26369&vector=AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H&version=3.1&source=Adobe%20Systems%20Incorporated


上一篇
5. 弱點處理- 修補難題
下一篇
7. 弱點處理- 計算出貼近真實分數
系列文
珍惜生命,遠離資安 - 避免不良的資安作法,專注重要事項33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言