Common Vulnerability Scoring System: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Projekt-Homepage“ durch „Projekt“
Zeile 2: Zeile 2:


== Beschreibung ==
== Beschreibung ==
Das '''Common Vulnerability Scoring System''' ('''CVSS''', deutsch: „Allgemeines Bewertungssystem für Schwachstellen“), ist ein [[Industriestandard]] zur Bewertung des Schweregrades von möglichen oder tatsächlichen [[Sicherheitslücke (Software)|Sicherheitslücken]] in [[Computer]]-Systemen.  
; Das '''Common Vulnerability Scoring System''' ('''CVSS''', deutsch: „Allgemeines Bewertungssystem für Schwachstellen“), ist ein [[Industriestandard]] zur Bewertung des Schweregrades von möglichen oder tatsächlichen [[Sicherheitslücke (Software)|Sicherheitslücken]] in [[Computer]]-Systemen.  
* Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten [[Softwaremetrik|Metrics]], bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann.  
* Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten [[Softwaremetrik|Metrics]], bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann.  
* CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen<ref name="faq"> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/faq/ |wayback=20110308031727 }}</ref>.  
* CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen<ref name="faq"> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/faq/ |wayback=20110308031727 }}</ref>.  
* Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden<ref>{{Literatur |Titel=CVSS rating for Meltdown and Spectre |Datum=2018-01-08 |Online=https://community.isc2.org/t5/Ask-ISC/CVSS-rating-for-Meltdown-and-Spectre/td-p/4955 |Abruf=2018-05-16}}</ref><ref>{{Internetquelle |url=https://www.suse.com/de-de/security/cve/CVE-2017-5753/ |titel=CVE-2017-5753 {{!}} SUSE |zugriff=2018-05-16}}</ref><ref>{{Internetquelle |url=https://access.redhat.com/security/cve/cve-2017-5753 |titel=CVE-2017-5753 - Red Hat Customer Portal |zugriff=2018-05-16 |sprache=en}}</ref><ref>{{Internetquelle |url=https://exchange.xforce.ibmcloud.com/vulnerabilities/137052 |titel=Multiple Intel CPU's information disclosure CVE-2017-5753 Vulnerability Report |zugriff=2018-05-16}}</ref><ref>{{Internetquelle |url=https://nvd.nist.gov/vuln/detail/CVE-2017-5753 |titel=NVD - CVE-2017-5753 |zugriff=2018-05-16}}</ref>.
* Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden<ref>{{Literatur |Titel=CVSS rating for Meltdown and Spectre |Datum=2018-01-08 |Online=https://community.isc2.org/t5/Ask-ISC/CVSS-rating-for-Meltdown-and-Spectre/td-p/4955 |Abruf=2018-05-16}}</ref><ref>{{Internetquelle |url=https://www.suse.com/de-de/security/cve/CVE-2017-5753/ |titel=CVE-2017-5753 {{!}} SUSE |zugriff=2018-05-16}}</ref><ref>{{Internetquelle |url=https://access.redhat.com/security/cve/cve-2017-5753 |titel=CVE-2017-5753 - Red Hat Customer Portal |zugriff=2018-05-16 |sprache=en}}</ref><ref>{{Internetquelle |url=https://exchange.xforce.ibmcloud.com/vulnerabilities/137052 |titel=Multiple Intel CPU's information disclosure CVE-2017-5753 Vulnerability Report |zugriff=2018-05-16}}</ref><ref>{{Internetquelle |url=https://nvd.nist.gov/vuln/detail/CVE-2017-5753 |titel=NVD - CVE-2017-5753 |zugriff=2018-05-16}}</ref>.


CVSS wurde 2005 vom ''National Infrastructure Advisory Council'' (NIAC), einer Arbeitsgruppe des US-[[Ministerium für Innere Sicherheit der Vereinigten Staaten|Ministeriums für Innere Sicherheit]], in Auftrag gegeben<ref name="faq" /> und wird derzeit durch das ''Forum of Incident Response and Security Teams''<ref>http://www.first.org/cvss</ref> betreut.  
; CVSS wurde 2005 vom ''National Infrastructure Advisory Council'' (NIAC), einer Arbeitsgruppe des US-[[Ministerium für Innere Sicherheit der Vereinigten Staaten|Ministeriums für Innere Sicherheit]], in Auftrag gegeben<ref name="faq" /> und wird derzeit durch das ''Forum of Incident Response and Security Teams''<ref>http://www.first.org/cvss</ref> betreut.  
* Den derzeitigen Vorsitz der Arbeitsgruppe ''CVSS-SIG team'' hat David Ahmad von [[NortonLifeLock|Symantec]].<ref> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/team/ |wayback=20101122145130 }}</ref> In die Entwicklung von CVSS sind eingebunden: [[CERT]], [[Cisco]], [[Department of Homeland Security|DHS]]/[[Mitre Corporation|MITRE]], [[eBay]], [[IBM]], [[Microsoft]], [[Qualys]], Symantec.<ref name="faq" /> CVSS wird ferner unterstützt von [[Hewlett-Packard|HP]], [[McAfee]], [[Oracle]], und [[Skype]].<ref> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/eadopters.html |wayback=20110325172518 }}</ref> Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht.  
* Den derzeitigen Vorsitz der Arbeitsgruppe ''CVSS-SIG team'' hat David Ahmad von [[NortonLifeLock|Symantec]].<ref> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/team/ |wayback=20101122145130 }}</ref> In die Entwicklung von CVSS sind eingebunden: [[CERT]], [[Cisco]], [[Department of Homeland Security|DHS]]/[[Mitre Corporation|MITRE]], [[eBay]], [[IBM]], [[Microsoft]], [[Qualys]], Symantec.<ref name="faq" /> CVSS wird ferner unterstützt von [[Hewlett-Packard|HP]], [[McAfee]], [[Oracle]], und [[Skype]].<ref> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/eadopters.html |wayback=20110325172518 }}</ref> Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht.  
* Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.<ref>https://www.first.org/cvss/specification-document#i5</ref>
* Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.<ref>https://www.first.org/cvss/specification-document#i5</ref>

Version vom 5. Februar 2023, 23:34 Uhr

Common Vulnerability Scoring System (CVSS) - Industriestandard zur Bewertung von Sicherheitslücken in Computer-Systemen

Beschreibung

Das Common Vulnerability Scoring System (CVSS, deutsch
„Allgemeines Bewertungssystem für Schwachstellen“), ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen.
  • Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten Metrics, bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann.
  • CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen[1].
  • Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden[2][3][4][5][6].
CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC), einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, in Auftrag gegeben[1] und wird derzeit durch das Forum of Incident Response and Security Teams[7] betreut.
  • Den derzeitigen Vorsitz der Arbeitsgruppe CVSS-SIG team hat David Ahmad von Symantec.[8] In die Entwicklung von CVSS sind eingebunden: CERT, Cisco, DHS/MITRE, eBay, IBM, Microsoft, Qualys, Symantec.[1] CVSS wird ferner unterstützt von HP, McAfee, Oracle, und Skype.[9] Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht.
  • Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.[10]

Anwendungen

Dokumentation

RFC

Man-Pages

Info-Pages

Siehe auch

Links

Projekt

Weblinks

  1. https://de.wikipedia.org/wiki/CVSS
  2. http://www.first.org/cvss the Forum of Incident Response Teams FIRST CVSS site]
  3. National Vulnerability Database NVD CVSS site
  4. Common Vulnerability Scoring System Version 3.1 Calculator
  5. Common Weakness Scoring System Version 1.0.1 Calculator
  6. Security-Database online CVSS 2.0 calculator
  7. A list of early adopters
  8. All software/hardware vulnerabilities are CVSS scored and can be viewed at the NVD site
  9. Security-Database vulnerabilities dashboard scored with CVSS and other Open Standards CVE, CPE, CWE, CAPEC, OVAL
  10. Vorlage:Heise online


Einzelnachweise

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5