www.wikidata.de-de.nina.az

CVSS Das Common Vulnerability Scoring System deutsch Allgemeines Bewertungssystem für Schwachstellen ist ein Industriest

CVSS

Das Common Vulnerability Scoring System (CVSS, deutsch: „Allgemeines Bewertungssystem für Schwachstellen“) ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen. Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten Metrics, bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen. Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht uneingeschränkt erreicht, da weiterhin identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden.

CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC), einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, in Auftrag gegeben und wird derzeit durch das Forum of Incident Response and Security Teams betreut. Den derzeitigen Vorsitz der Arbeitsgruppe CVSS-SIG team haben Dave Dugal und Dale Rich. In die Entwicklung von CVSS sind eingebunden: CERT, Cisco, DHS/MITRE, eBay, IBM, Microsoft, Qualys, Symantec. CVSS wird ferner unterstützt von HP, McAfee, Oracle, und Skype.

Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht. Mit CVSS v3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metriken die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte. Im November 2023 wurde die Version 4.0 des Standards publiziert. Neben einer feineren Aufteilung der grundlegenden Metriken führt diese Version auch eine Reihe von "Ergänzungs-Metriken" ein. Diese sollen zuvor nicht berücksichtigte Faktoren in die Schwachstellenbewertung einbeziehen und den Standard erstmals auch auf Schwachstellen in industriellen Anlagen und dem Internet der Dinge anwendbar machen.

Siehe auch Bearbeiten

Weblinks Bearbeiten

Quellen Bearbeiten

  1. (Memento vom 8. März 2011 im Internet Archive)
  2. CVSS rating for Meltdown and Spectre. 8. Januar 2018 (isc2.org [abgerufen am 16. Mai 2018]).
  3. CVE-2017-5753 | SUSE. Abgerufen am 16. Mai 2018.
  4. CVE-2017-5753 - Red Hat Customer Portal. Abgerufen am 16. Mai 2018 (englisch).
  5. Multiple Intel CPU's information disclosure CVE-2017-5753 Vulnerability Report. Abgerufen am 16. Mai 2018.
  6. NVD - CVE-2017-5753. Abgerufen am 16. Mai 2018.
  7. first.org
  8. Common Vulnerability Scoring System SIG. Abgerufen am 13. November 2023.
  9. (Memento vom 25. März 2011 im Internet Archive)
  10. first.org
  11. first.org
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Das Common Vulnerability Scoring System CVSS deutsch Allgemeines Bewertungssystem fur Schwachstellen ist ein Industriestandard zur Bewertung des Schweregrades von moglichen oder tatsachlichen Sicherheitslucken in Computer Systemen Im CVSS werden Sicherheitslucken nach verschiedenen Kriterien sogenannten Metrics bewertet und miteinander verglichen so dass eine Prioritatenliste fur Gegenmassnahmen erstellt werden kann CVSS ist selbst kein System zur Warnung vor Sicherheitslucken sondern ein Standard um verschiedene Beschreibungs und Messsysteme miteinander kompatibel und allgemein verstandlich zu machen 1 Dieses Ziel wird jedoch auch durch mehrfache Uberarbeitungen des Standards nicht uneingeschrankt erreicht da weiterhin identische Sicherheitslucken von unterschiedlichen Akteuren unterschiedlich bewertet werden 2 3 4 5 6 CVSS wurde 2005 vom National Infrastructure Advisory Council NIAC einer Arbeitsgruppe des US Ministeriums fur Innere Sicherheit in Auftrag gegeben 1 und wird derzeit durch das Forum of Incident Response and Security Teams 7 betreut Den derzeitigen Vorsitz der Arbeitsgruppe CVSS SIG team haben Dave Dugal und Dale Rich 8 In die Entwicklung von CVSS sind eingebunden CERT Cisco DHS MITRE eBay IBM Microsoft Qualys Symantec 1 CVSS wird ferner unterstutzt von HP McAfee Oracle und Skype 9 Im Juni 2007 wurde die zweite Version des Scoring Systems veroffentlicht Mit CVSS v3 0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Uberarbeitungen der Metriken die Einfuhrung von Schlusselwortern fur die Schweregrade Kein Niedrig Mittel Hoch Kritisch sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte 10 Im November 2023 wurde die Version 4 0 des Standards publiziert Neben einer feineren Aufteilung der grundlegenden Metriken fuhrt diese Version auch eine Reihe von Erganzungs Metriken ein Diese sollen zuvor nicht berucksichtigte Faktoren in die Schwachstellenbewertung einbeziehen und den Standard erstmals auch auf Schwachstellen in industriellen Anlagen und dem Internet der Dinge anwendbar machen 11 Siehe auch BearbeitenCommon Criteria for Information Technology Security Evaluation IEC ISO Common Weakness Scoring System CWSS MITRE Common Vulnerabilities and Exposures CVE ITU Weblinks Bearbeitenthe Forum of Incident Response Teams FIRST CVSS site National Vulnerability Database NVD CVSS site A list of early adopters All software hardware vulnerabilities are CVSS scored and can be viewed at the NVD site Security Database vulnerabilities dashboard scored with CVSS and other Open Standards CVE CPE CWE CAPEC OVAL Andreas Kurtz Von niedrig bis kritisch Schwachstellenbewertung mit CVSS In Heise online 25 Januar 2021 Abgerufen am 27 Januar 2021 CVSS v4 0Quellen Bearbeiten a b c Archivlink Memento vom 8 Marz 2011 im Internet Archive CVSS rating for Meltdown and Spectre 8 Januar 2018 isc2 org abgerufen am 16 Mai 2018 CVE 2017 5753 SUSE Abgerufen am 16 Mai 2018 CVE 2017 5753 Red Hat Customer Portal Abgerufen am 16 Mai 2018 englisch Multiple Intel CPU s information disclosure CVE 2017 5753 Vulnerability Report Abgerufen am 16 Mai 2018 NVD CVE 2017 5753 Abgerufen am 16 Mai 2018 first org Common Vulnerability Scoring System SIG Abgerufen am 13 November 2023 Archivlink Memento vom 25 Marz 2011 im Internet Archive first org first org Abgerufen von https de wikipedia org w index php title CVSS amp oldid 239663810