¿Por qué se califica a logjam como "Ninguno" por el impacto de la confidencialidad en CVSS?

Question

¿Por qué se califica a logjam como "Ninguno" por el impacto de la confidencialidad en CVSS?

#1 de StackzOfZtuff (3 votos)

4

La puntuación CVSS para Logjam is (AV: N / AC: M / Au: N / C: N / I: P / A: N) .

Comoseseñalóenesabonitaydinámicainterpretacióndelaimagen,lamétricadeimpacto"Confidencialidad" se describe como "Ninguna" ( C: N ).

Pero la descripción en Logjam señala que " hay un adversario en la red pasivo capaz de escuchar a escondidas " para Ataque 1, y tiene un video que muestra el texto en claro de una publicación en un sitio del FBI. Seguramente eso merece al menos un impacto de confidencialidad parcial C / P) .

Y, por supuesto, si los ataques de suplantación o los de suplantación pueden emplearse contra el usuario correcto, también puede obtener acceso completo a la información sobre la confidencialidad, integridad y disponibilidad del servidor. Pero supongo que no cuentan esos ataques de seguimiento.

tls cvss

pregunta nealmcb 30.06.2015 - 21:35

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls cvss

¿Son los métodos mágicos de PHP realmente necesarios para la inyección de objetos PHP? Proteger la contraseña / autenticar durante el tránsito a través de un socket TCP (inseguro) para un juego

score 3 · Answer 1

No puedo decirle cómo surgió NVD, llamémoslo clasificación de referencia. Pero puedo decirle que no todos los proveedores han seguido esa calificación de referencia.

Encuesta de calificaciones

(AV: N / AC: M / Au: N / C: N / I: P / A: N), 4.3, NVD
- Y si cambia esto manualmente a (AV: N / AC: M / Au: N / C: P / I: P / A: N), entonces obtiene Overall CVSS Score 5.8 .
(AV: N / AC: M / Au: N / C: N / I: P / A: N), 4.3, Juniper . Igual que NVD.
(AV: N / AC: M / Au: N / C: P / I: N / A: N), 4.3, Polycom . C: P / I: N en su lugar.
(AV: N / AC: M / Au: N / C: P / I: N / A: N), 4.3, IBM . C: P / I: N en su lugar.
(AV: N / AC: M / Au: N / C: P / I: N / A: N), 4.3, RedHat . C: P / I: N en su lugar.
(AV: N / AC: H / Au: N / C: P / I: P / A: P), 5.1, SCIP VulDB . C: P en su lugar.

Tampoco entiendo la línea de base.

FIRST.org ofrece algunos ejemplos de CVSS sobre cómo se supone que debe calificar las vulnerabilidades. Supongo que para estos ejemplos han tenido cuidado de calificarlos correctamente.

Se puntúan utilizando CVSS v2 y CVSS v3.

Y enumeran dos vulnerabilidades de SSL / TLS. Número 3, que es POODLE. Y el número 20, que es una vulnerabilidad ChangeChiperSpec. Y ambos puntúan "C: P (parcial)" en CVSS v2.

Y siguiendo estos ejemplos, yo también calificaría a Logjam como C: P. NVD no tiene No sé por qué.

Editar historial

Para ver la larga y complicada evolución de esta publicación, consulte el historial de edición .