タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
CVSSバージョン4.0の変更点と活用可能性
CVSS(Common Vulnerability Scoring System)は、脆弱性管理における基本的な仕組みとして広く利用されており、業界全体のデファクトスタンダードになっています。CVSSはFIRST(Forum of Incident Respones and Security Teams)内に設置されたCVSS-SIG(Special Interest Group)1によって策定され、2023年7月現在の最新バージョンは3.1となっています。2023年6月に次バージョンである4.0のパブリックプレビュー版2が公開されており、寄せられたコメントをレビュー・反映した後、2023年10月を目途にバージョン4.0の公開が予定されています。本稿ではパブリックプレビュー版に基づいて、現行のバージョン3.1との変更点を解説します。また、SSVC(Stakeholder-Specific
「脆弱(ぜいじゃく)性管理」は企業における喫緊の課題です。しかし漢字5文字のわりには考えなければならないことが多く、どう管理するか悩まれている方やどこから手を付けるべきか分からずひとまず見て見ぬ振りをせざるを得ない方もいると思います。 脆弱性管理においては「アップデートパッチが提供されたら速やかに適用する」のがいわゆる鉄則ですが、脆弱性は日々、数え切れないほど生まれます。そしてパッチを適用するには、一通りのテストを実施しなければなりません。「セキュリティ観点からパッチを当てる必要があるとは分かってはいるもののすぐには難しい……」というのが現状なのです。まずは自分たちの組織にとって、本当に緊急の対応が必要な脆弱性と、そうでない脆弱性を区別することから始めましょう。 と言いたいのはやまやまですが、それすら非常に難しいというのが実際に手を動かすと直面する課題でしょう。緊急の脆弱性かどうかを判断す
本文の内容は、2022年4月20日にMiguel Hernándezが投稿したブログAre vulnerability scores misleading you? Understanding CVSS severity and using them effectively(https://sysdig.com/blog/vulnerability-score-cvss-meaning/)を元に日本語に翻訳・再構成した内容となっております。 脆弱性はどこにでもあります。セキュリティ専門家にとって、これらの脆弱性を大規模に調査し、緩和し、是正することは大変な作業です。どの組織も、すべての脆弱性を見つけて修正する能力を持っているわけではないことを心に留めておいてください。重要なのは、脆弱性とは何かを理解し、CVSSスコアの意味を解釈し、制約された時間制限や納期内でリソースの優先順位付けと有効利
CVSSとその限界 | ドクセル
長谷川陽介(はせがわようすけ) セキュリティ・キャンプ協議会代表理事 (株)セキュアスカイ・テクノロジー 取締役CTO 千葉大学 非常勤講師 OWASP Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメ ンバー Webブラウザー、Webアプリケーションに 関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ Vuls祭り#8 #vulsjp https://utf-8.jp/
脆弱性管理でCVSS基本値だけに振り回されないためのメモ【CVSS v2.0編】 – Feat. Known Exploited Vulnerabilities Catalog
■Known Exploited Vulnerabilities Catalogとは 「Known Exploited Vulnerabilities Catalog」(以下、KEVC)は、米国土安全保障省のCISA(Cybersecurity & Infrastructure Security Agency)が2021年11月3日から公開している情報で名前の通り悪用されたことが知られている脆弱性のカタログです。このカタログに掲載されている脆弱性は2022年2月4日時点で352件で、これらは既に悪用が確認されており、かつ、アメリカの連邦政府に大きな影響を及ぼすため、対応が急がれると判断できるものです。 このカタログに掲載されている項目は以下の通りです。 CVE番号 (CVE) ベンダー/プロジェクト名 (Vendor/Product) 製品脆弱性名 (Vulnerability Name)
GitLabのミュニティーエディションとエンタープライズエディションに「緊急」(Critical)の脆弱性が見つかった。CVSSv3.1のスコア値が「10.0」と最高値が付いているため迅速にアップデートを適用してほしい。
情報処理推進機構(IPA)は9月13日、トレンドマイクロ製品の一部に複数の脆弱性が存在するとして注意喚起した。すでに悪用を確認したものや、影響度を示すCVSS v3のベーススコアが10点中8.2(重要レベル)のものも含まれる。 脆弱性が見つかったのはエンドポイントセキュリティ製品「Trend Micro Apex One」「Trend Micro Apex One SaaS」。悪用されると(1)ログイン認証を回避される、(2)システムにログインできる第三者にDoS攻撃される、(3)管理者権限を盗まれる、(4)管理画面にログインできる第三者に任意のコードを実行される、(5)遠隔地から情報を盗まれる──といった恐れがある。 情報セキュリティ修正パッチは公開済み。IPAはできるだけ早急にパッチを適用するよう呼び掛けている。 関連記事 Microsoftの月例セキュリティ更新パッチ適用を ゼロデイ
コンピュータ情報サイトの「The Hacker News」は2023年1月12日(現地時間)、エンタープライズLinuxの管理ツールである「Control Web Panel」(CWP)に存在する脆弱(ぜいじゃく)性がサイバー攻撃者によって積極的に悪用されていると伝えた。 見つかった脆弱性はCVE-2022-44877として追跡されている。共通脆弱性評価システム(CVSS)のスコア値が9.8と評価されており、深刻度「緊急」(Critical)に分類されている。該当製品を使用している場合は直ちにアップデートを適用してほしい。
CVSS v4.0では、従来のバージョンよりも細かい基本メトリクスが提供されており、スコアリングの曖昧さの低減や脅威メトリクスの簡素化、環境固有のセキュリティ要件や補完的なセキュリティ要件の評価効果が向上している。 脆弱性評価を補足するため「Automatable」(ワーム化可能)「Recovery」(回復力)「Value Density」(価値密度)「Vulnerability Response Effort」(脆弱性対応努力)「Provider Urgency」(提供者の緊急度)など幾つかのメトリクスが追加されている。 また、CVSS v4.0における機能拡張の重要なポイントとしてOT/ICS、IoTへの適用性を高めたことなども注目される。昨今、OT/ICS、IoTはサイバー攻撃者にとって格好の標的となっており、その深刻度を適切に評価する指針が必要になっていた。 その他、CVSSは単な
CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます) なお、本ブログでは、実際のセキュリティ運用におけるCVSSの有用性や他の情報(KEV、SSVC、EPSSなど)との組み合わせみたいな話には踏み込みません。あくまでCVSS v4.0の理解に集中します。 今回はFIRSTのspecification documentとFAQから学びます。 CVSSとは?(割愛) CVSSの構成 v3.1から何が変わったのか? 各メトリクスの定義 基本メトリックグループ(Base Metric Group) 悪用可能性メトリクス(Exploitability Metrics) 影響メトリクス(Impact Metrics) 脅威メトリックグループ(Threat
Zerologon攻撃、未認証でDC管理者権限を取得されるリスク。CVSSスコア10の深刻な脆弱性(大元隆志) - エキスパート - Yahoo!ニュース
オランダのセキュリティ会社であるSecuraが「Zerologon」と名付けた攻撃が話題を集めている。「Zerologon」は特定のNetlogon認証パラメーターに0(ゼロ)を追加することによって攻撃が成立する。Windows ADやドメインコントローラとネットワーク接続が可能な状況であれば、比較的簡単に実行出来るリスクがあり、CVSSスコアも10となっている。 ■本脆弱性の要点 さまざまなフィールドに0が入力されたNetlogonメッセージを多数送信するだけで、攻撃者はADに格納されているドメインコントローラのコンピュータパスワードを変更可能になる。これを使用してドメイン管理者資格情報を取得し、元のDCパスワードを復元できる。 この攻撃の影響は非常に大きく、基本的にはローカルネットワーク(悪意のある内部関係者や、デバイスをオンプレミスのネットワークポートに接続しただけの人など)上のあら
Rustセキュリティレスポンスワーキンググループは2024年4月9日(現地時間)、プログラミング言語「Rust」の標準ライブラリに不適切な引数のエスケープ処理に起因する脆弱(ぜいじゃく)性が存在すると伝えた。 Rustの標準ライブラリにCVSS 10.0の脆弱性 急ぎ対処を この脆弱性は「CVE-2024-24576」として特定されており、CVSSスコアは「10.0」で深刻度「緊急」と評価されている。この脆弱性を悪用した場合、サイバー攻撃者は任意のシェルコマンドを実行できる可能性がある。 Rustセキュリティレスポンスワーキンググループによると、この問題は「Windows」においてAPIを使ってバッチファイルを起動する際に引数を適切にエスケープ処理していないことに原因がある。サイバー攻撃者はこの脆弱性を利用してプロセスに渡される引数を使って任意のシェルコマンドを実行できる。 同ワーキンググ
アンチウイルスエンジン「ClamAV」に「緊急」の脆弱性が見つかった。CVSSスコア値は9.8と発表されている。ClamAVを使用しているCisco製品にもセキュリティアップデートが必要のため、急ぎ対処が求められる。
Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる:セキュリティニュースアラート
OutlookにCVSS 9.8、「緊急」の脆弱性 急ぎアップデートの適用を:セキュリティニュースアラート MicrosoftはOutlookにCVSSスコア9.8の脆弱性が存在すると伝えた。この脆弱性を悪用する動きが確認されたため、早急なアップデートの適用が望まれる。
Red Hatは2024年3月29日(現地時間、以下同)、最新バージョンの「XZ Utils」に不正アクセスを意図した悪意あるコードが含まれていたと伝えた。 CVSS v3スコア「10.0」 複数のLinuxディストリビューションに深刻な影響 悪意あるコードはXZ Utilsのバージョン5.6.0および5.6.1に含まれているとされており、「CVE-2024-3094」として特定されている。共通脆弱性評価システム(CVSS) v3のスコア値は「10.0」で深刻度「緊急」(Critical)に分類されている。 XZ Utilsはファイルの圧縮や解凍を実行するツールだ。効率的な圧縮アルゴリズムを提供しており、複数のLinuxディストリビューションなどで採用されている。 Red Hatによると、XZ Utilsのバージョン5.6.0および5.6.1には悪意あるコードが難読化された状態で仕込まれて
Fortinetは2022年10月10日(現地時間)、PSIRT(Product Security Incident Response Team)アドバイザリで同社の複数製品に深刻度「緊急」(Critical)に分類される脆弱(ぜいじゃく)性(CVE-2022-40684)が存在すると発表した。 Fortinetは既に同脆弱性の悪用が確認されているとし、該当製品を使用している場合は直ちにパッチを適用することを推奨している。
セキュリティ企業Mend.ioは2023年6月22日、同社のブログで、共通脆弱(ぜいじゃく)性評価システム「CVSS」の最新バージョン(CVSS 4.0)が公開プレビューのフェーズに入ったことを紹介した。これは、2023年6月4~9日(カナダ時間)に開催されたFIRST(Forum of Incident Response and Security Teams)の年次カンファレンスで発表された同内容の解説となる。 CVSS 4.0の主な変更点は以下の通り。 基本メトリクスの細分化 新たな測定基準が追加され、より詳細な情報を参照できる。例えば、「攻撃複雑度」(Attack Complexity)は、エクスプロイト工学の複雑さを反映している。「攻撃要件」は攻撃を可能にする脆弱なコンポーネントの前提条件を示している。 スコープ(Scope)指標の廃止 FIRSTによると、これまで使われていたスコ
Cisco Systemsは小規模ビジネス向けのルーターに複数の脆弱性が存在することを伝えた。本稿公開時点では、修正用のアップデートの提供は予定されていない。該当製品を使用している場合は、推奨される緩和策を適用してほしい。
Trend Micro傘下の脆弱(ぜいじゃく)性発見コミュニティーZero Day Initiative(以下、ZDI)は2022年12月22日(現地時間)、Linuxカーネルでファイル共有関連の機能を提供する「ksmbd」にリモートコード実行の脆弱性が存在すると伝えた。 同脆弱性は共通脆弱性評価システム(CVSS)のスコア値が10.0と評価されており、深刻度「緊急」(Critical)に分類されている。該当機能を使用している場合、直ちに情報を確認するとともに、迅速に対処してほしい。
「VISS」はCVSSとどう違う? ZVCが新たな脆弱性評価フレームワークを公開:セキュリティニュースアラート ZVCは脆弱性を評価するスコアリングシステム「Vulnerability Impact Scoring System(VISS) version 1.0.0」を公開した。こうした評価制度のデファクトスタンダードであるCVSSとは何が異なるのか。
EPSSは共通脆弱性評価システム(CVSS)やCVEなど複数の指標を基に、今後30日間で悪用される確率の日時推定値を示す。1000以上の変数と機械学習を使ってこの予測は微調整される。スコア値は脆弱性の修復に優先順位を付けるために設計されている。 業界では脆弱性のスコア値としてCVSSがデファクトスタンダードのポジションにある。このスコアは十分に機能しているが危険性の論理値を示すものであり、実際のリスクよりも高いスコアが付きがちで、企業が対処しなければならない脆弱性の数が多くなりすぎる点が課題だ。また、CVSSのスコア値が低いものであっても簡単に使用できるエクスプロイトが存在する場合は、そのリスクはスコア値以上に高いものになるという課題もある。 Mend.ioはCVSSとEPSSの使い分けとして以下のアドバイスを送った。
CVSS(共通脆弱性評価システム)3.0から3.1への変更点:OpenSCAPで脆弱性対策はどう変わる?(7) 本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CVSS 3.0から3.1への変更点について。 OSSセキュリティ技術の会の面和毅です。本連載「OpenSCAPで脆弱性対策はどう変わる?」では、実質的にグローバルスタンダードの「SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)」、およびそれを基にシステム構成や脆弱(ぜいじゃく)性の検査を行うためのOSS(オープンソースソフトウェア)ツール「OpenSCAP」や、その周辺の技術、用語などを紹介してい
Cisco ExpresswayにCVSS9.6の脆弱性 回避策はないため急ぎアップデートを:セキュリティニュースアラート CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」(Critital)と評価されている。
CVSS スコアの判定に大きく関わる要素 CVSS スコアの判定には以下の要素が大きく影響してきます。 機密性(Confidentiality Impact) 機密性(Confidentiality)は、対象の脆弱性が攻撃された際に、情報をどの程度漏洩するかを評価する項目です。 たとえば何も漏洩しない脆弱性であればこの項目は該当せず、逆に重要なデータの多くが漏洩する場合は「全面的に機密性への影響がある」といった評価がなされます。 完全性(Integrity Impact) 完全性(Integrity)はシステム上の情報をどの程度改ざんすることが可能であるかを評価します。 たとえばネットワーク上のデータを途中で書き換えるケースや、ファイルシステム上にあるデータを直接書き換えるケースなどが、脆弱性を介してできるようであれば完全性に該当します。 この問題は「どの程度の情報を改ざんできるか」が評価
発見されている脆弱性の数が年々増えていることを皆様ご存じでしょうか。以下のグラフをご覧ください。 このグラフは、「CVSS v2」という評価手法を使って、脆弱性の重大度合いを分類したグラフです。現在は、CVSS v2の改良版である「CVSS v3」が主流になっているため、2022年7月を境にNVDではCVSS v2の集計を中止しており、2022年の脆弱性の数が低くなっています。しかし、近年の傾向を考慮すると、非常に多くの脆弱性が発見されていると推測できます。 多くの脆弱性を正確に判断し対応することが求められている一方で、CVSSを用いた対応に課題があることもわかってきています。 本稿では、CVSSに代わる脆弱性の評価手法「SSVC」についてご紹介します。 図1.2013年から2022年までの脆弱性数の推移[1] 出所)NVD[2]のCVSS Severity Distribution Ov
既知の悪用された脆弱性一覧 CISA KEVカタログCISA KEVカタログの概要と公開された背景、SSVCと呼ばれる優先順位付けのフレームワークの概要と実運用時の課題について紹介します。
Critical libwebp Vulnerability Under Active Exploitation - Gets Maximum CVSS Score
Google has assigned a new CVE identifier for a critical security flaw in the libwebp image library for rendering images in the WebP format that has come under active exploitation in the wild. Tracked as CVE-2023-5129, the issue has been given the maximum severity score of 10.0 on the CVSS rating system. It has been described as an issue rooted in the Huffman coding algorithm - With a specially cra
Cisco Systems(以下、Cisco)は2023年10月16日(現地時間)、ネットワーキングソフトウェア「Cisco IOS XE Software」のWeb UI機能に脆弱(ぜいじゃく)性が存在すると伝えた。 サイバー攻撃者がこれを悪用すると、影響を受けたシステムにおいて特権レベルアクセス15のアカウントを作成でき、遠隔からシステムの制御権を乗っ取ることが可能になる。 CiscoはWeb UIの脆弱性を「CVE-2023-20198」として特定するとともに、深刻度を共通脆弱性評価システム(CVSS)のスコアで最大の「10.0」とし、「緊急」(Critical)と評価している。この脆弱性は積極的に悪用されていることが確認されており、迅速な対応が求められる。 Web UI機能は「ip http server」や「ip http secure-server」といったコマンドで有効化でき
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 やや古くなってしまいましたが、2019年の6月にCVSS 3.1がリリースされました。既に脆弱性情報(CVE)に紐付いて、Red Hat等からはCVSS 3.1での情報も出てきていますので、こちらでCVSS v3.1 UserGuideの拙訳を行いたいと思います。用語に関しては、共通脆弱性評価システムCVSS v3概説 (IPA)も参考にさせていただいてます。 2020/02/11: 3.6までの翻訳が終わりました。 2020/02/13: 3.11までの翻訳が終わりました。 Common Vulnerability Scoring System v3.1: User Guide オリジナル原文:CVSS v3.1 User Guide (FIRST) Common Vulnerability Scoring
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性スコアに惑わされてる?CVSSの深刻度を理解し、効果的に活用する
GitLabに「CVSS10.0」の脆弱性 直ちにアップデートを
トレンドマイクロ製品に複数の脆弱性 認証回避、DoS攻撃、権限昇格など CVSS最大8.2
Control Web PanelにCVSSスコア9.8の脆弱性、Linuxユーザーは警戒を
CVSS v4.0が正式に発表 新たな命名法によって精密な脆弱性評価が可能に
「CVSS 4.0」が正式発表 ~共通脆弱性評価システムの最新バージョン/セキュリティ環境の変化に対応して評価手法を改善、OT/ICS/IoTも包摂
【要点抽出】CVSS v4.0 - 2LoD.sec
日本語プログラム言語環境「なでしこ3」に複数の脆弱性 ~JVNが注意喚起/コマンドインジェクションなど3件。深刻度の評価は「CVSS v3」の基本値で最大「9.8」
NVIDIA製GPUディスプレイドライバーに複数の脆弱性 ~GeForceユーザーはv512.77への更新を【16:00追記】/「CVSS v3.1」のベーススコアは最大で「8.5」
Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
「ウイルスバスター クラウド」に脆弱性 ~ファイルを削除される可能性/「CVSS 3.0」の基本値は「7.8」、JVNが注意喚起
CVSSは9.8 Ciscoのアンチウイルスエンジン「ClamAV」に脆弱性、急ぎ対処を
Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる
「ウイルスバスター」の「Airサポート」に概念実証コード公開済みの脆弱性/CVSS 4.0の深刻度は「9.4」。修正済みのv6.0.2103に更新されているか確認を
OutlookにCVSS 9.8、「緊急」の脆弱性 急ぎアップデートの適用を
NVIDIA製GPUのディスプレイドライバーに3件の脆弱性 ~修正版が公開/深刻度は“CVSS v3”の基本値で最大“7.7”
NVIDIA製GPUのディスプレイドライバーに5件の脆弱性 ~修正版へのアップデートを/深刻度は“CVSS v3”の基本値で“5.2”から“8.8”
Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か
Fortinet製品にCVSS v3スコア9.6の脆弱性 直ちにパッチの適用を
「脆弱性に対処する難易度」を評価可能に 最新のCVSS「CVSS 4.0」は何が違うのか
NVIDIA製GPUドライバーに7件の脆弱性 ~最新「GeForce」ドライバーへの更新を/「CVSS v3.1」のベーススコアは最大で「8.2」
Ciscoルーターに見つかったCVSS9.0の脆弱性 アップデートは提供予定なし
LinuxカーネルにCVSS10.0の脆弱性 SMBサーバでリモート実行のリスク
「VISS」はCVSSとどう違う? ZVCが新たな脆弱性評価フレームワークを公開
Symantec社のエンドポイント製品に複数の脆弱性、修正プログラムが公開/深刻度の最高で“CVSS v3”の基本値は“7.8”
話題の「EPSS」は「CVSS」と何が違うのか? 使い分けるべきケースを紹介
CVSS(共通脆弱性評価システム)3.0から3.1への変更点
Cisco ExpresswayにCVSS9.6の脆弱性 回避策はないため急ぎアップデートを
脆弱性の深刻度をセルフチェック CVSS | yamory Blog
CVSSに代わる脆弱性の評価手法「SSVC」とは|迅速な脆弱性対応を目指して
CVSS v4.0 主な変更点とよくある質問 | yamory Blog
NVIDIA製GPUディスプレイドライバーに25件の脆弱性 ~対策版へのアップデートを/「CVSS v3.1」のベーススコアは最大で「8.8」
CVSSは「10.0」 Cisco IOS XE Softwareに「緊急」の脆弱性、回避策は未提供
【翻訳】CVSS v3.1 UserGuide | security.sios.com
zenn.dev/dog
theatergirl.jp
telecom-insights.com
www.4gamer.net
nijimen.net
kyoko4.ue.bulog.jp