¿Por qué se califica a logjam como "Ninguno" por el impacto de la confidencialidad en CVSS?

4

La puntuación CVSS para Logjam is (AV: N / AC: M / Au: N / C: N / I: P / A: N) .

Comoseseñalóenesabonitaydinámicainterpretacióndelaimagen,lamétricadeimpacto"Confidencialidad" se describe como "Ninguna" ( C: N ).

Pero la descripción en Logjam señala que " hay un adversario en la red pasivo capaz de escuchar a escondidas " para Ataque 1, y tiene un video que muestra el texto en claro de una publicación en un sitio del FBI. Seguramente eso merece al menos un impacto de confidencialidad parcial C / P) .

Y, por supuesto, si los ataques de suplantación o los de suplantación pueden emplearse contra el usuario correcto, también puede obtener acceso completo a la información sobre la confidencialidad, integridad y disponibilidad del servidor. Pero supongo que no cuentan esos ataques de seguimiento.

    
pregunta nealmcb 30.06.2015 - 21:35
fuente

1 respuesta

3

No puedo decirle cómo surgió NVD, llamémoslo clasificación de referencia. Pero puedo decirle que no todos los proveedores han seguido esa calificación de referencia.

Encuesta de calificaciones

Tampoco entiendo la línea de base.

FIRST.org ofrece algunos ejemplos de CVSS sobre cómo se supone que debe calificar las vulnerabilidades. Supongo que para estos ejemplos han tenido cuidado de calificarlos correctamente.

Se puntúan utilizando CVSS v2 y CVSS v3.

Y enumeran dos vulnerabilidades de SSL / TLS. Número 3, que es POODLE. Y el número 20, que es una vulnerabilidad ChangeChiperSpec. Y ambos puntúan "C: P (parcial)" en CVSS v2.

Y siguiendo estos ejemplos, yo también calificaría a Logjam como C: P. NVD no tiene No sé por qué.

Editar historial

Para ver la larga y complicada evolución de esta publicación, consulte el historial de edición .

    
respondido por el StackzOfZtuff 30.06.2015 - 22:14
fuente

Lea otras preguntas en las etiquetas