CVSS

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Das Common Vulnerability Scoring System (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem“), abgekürzt CVSS, ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen. Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten Metrics, bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen[1]. Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden[2][3][4][5][6].

CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC), einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, in Auftrag gegeben[1] und wird derzeit durch das Forum of Incident Response and Security Teams[7] betreut. Den derzeitigen Vorsitz der Arbeitsgruppe CVSS-SIG team hat David Ahmad von Symantec.[8] In die Entwicklung von CVSS sind eingebunden: CERT, Cisco, DHS/MITRE, eBay, IBM, Microsoft, Qualys, Symantec.[1] CVSS wird ferner unterstützt von HP, McAfee, Oracle, und Skype.[9] Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht. Überarbeitungen. Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte. [10]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Quellen[Bearbeiten | Quelltext bearbeiten]

  1. a b c Archivlink (Memento des Originals vom 8. März 2011 im Internet Archive) i Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.first.org
  2. CVSS rating for Meltdown and Spectre. 8. Januar 2018 (isc2.org [abgerufen am 16. Mai 2018]).
  3. CVE-2017-5753 | SUSE. Abgerufen am 16. Mai 2018.
  4. CVE-2017-5753 - Red Hat Customer Portal. Abgerufen am 16. Mai 2018 (englisch).
  5. Multiple Intel CPU's information disclosure CVE-2017-5753 Vulnerability Report. Abgerufen am 16. Mai 2018.
  6. NVD - CVE-2017-5753. Abgerufen am 16. Mai 2018.
  7. http://www.first.org/cvss
  8. Archivlink (Memento des Originals vom 22. November 2010 im Internet Archive) i Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.first.org
  9. Archivlink (Memento des Originals vom 25. März 2011 im Internet Archive) i Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.first.org
  10. https://www.first.org/cvss/specification-document#i5