कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम: Difference between revisions

Revision as of 12:09, 13 May 2023

सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सुरक्षा भेद्यता (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए स्वतंत्र और खुला मानक तकनीकी मानक है। सीवीएसएस कमजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से कमजोर प्रणाली क्रमशः मौजूद हैं।

CVSS (CVSSv3.1) का वर्तमान संस्करण जून 2019 में जारी किया गया था।^[1]

इतिहास

2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (NIAC) द्वारा किए गए शोध ने फरवरी 2005 में CVSS वर्जन 1 (CVSSv1) को लॉन्च किया।^[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, NIAC ने भविष्य के विकास के लिए CVSS का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम (Forum_of_Incident_Response_and_Security_Teams) का चयन किया।^[3]^[4] उत्पादन में CVSSv1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि CVSS के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर काम अप्रैल 2005 में शुरू हुआ और अंतिम विनिर्देश जून 2007 में शुरू किया गया।^[5] आगे की प्रतिक्रिया के परिणामस्वरूप CVSS संस्करण 3 पर काम शुरू हुआ^[6] 2012 में, जून 2015 में जारी CVSSv3.0 के साथ समाप्त।^[2]^[7]

शब्दावली

सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है: भेद्यता के आंतरिक गुणों के लिए #बेस मेट्रिक्स

टेम्पोरल मेट्रिक्स उन विशेषताओं के लिए जो भेद्यता के जीवनकाल में विकसित होती हैं

कमजोरियों के लिए #पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या CVSSv2 में केवल वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

संस्करण 2

CVSSv2 के लिए संपूर्ण दस्तावेज़ीकरण FIRST से उपलब्ध है।^[8] नीचे सारांश दिया गया है।

बेस मेट्रिक्स

्सेस वेक्टर

्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।

महत्व	विवरण	अंक
स्थानीय (एल)	हमलावर के निकट या तो कमजोर प्रणाली (जैसे फायरवायर हमले) या एक स्थानीय खाते (जैसे एक विशेषाधिकार वृद्धि हमला) तक भौतिक पहुंच होनी चाहिए।	0.395
आसन्न नेटवर्क (ए)	हमलावर के निकट कमजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ हमले)।	0.646
नेटवर्क (एन)	असुरक्षित इंटरफ़ेस OSI नेटवर्क स्टैक की परत 3 या उससे ऊपर पर काम कर रहा है। इस प्रकार की कमजोरियों को अक्सर दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में एक दूरस्थ बफर अतिप्रवाह)	1.0

पहुंच जटिलता

पहुंच जटिलता (एसी) मीट्रिक बताती है कि खोजी गई भेद्यता का फायदा उठाना कितना आसान या कठिन है।

महत्व	विवरण	अंक
उच्च (एच)	विशिष्ट स्थितियाँ मौजूद हैं, जैसे एक संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।	0.35
मध्यम (एम)	हमले के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे हमले की उत्पत्ति पर एक सीमा, या एक असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ कमजोर प्रणाली के चलने की आवश्यकता।	0.61
कम (एल)	भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो।	0.71

प्रमाणीकरण

ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब हमलावर को लक्ष्य का फायदा उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक कमजोरियों के लिए, यह मान केवल ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।

महत्व	विवरण	अंक
एकाधिक (एम)	भेद्यता के शोषण के लिए आवश्यक है कि हमलावर दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए।	0.45
एकल (एस)	भेद्यता का फायदा उठाने के लिए हमलावर को एक बार प्रमाणित करना होगा।	0.56
कोई नहीं (एन)	हमलावर को प्रमाणित करने की कोई आवश्यकता नहीं है।	0.704

प्रभाव मेट्रिक्स

गोपनीयता

गोपनीयता (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की गोपनीयता पर प्रभाव का वर्णन करता है।

महत्व	विवरण	अंक
None (N)	There is no impact on the confidentiality of the system.	0.0
Partial (P)	There is considerable disclosure of information, but the scope of the loss is constrained such that not all of the data is available.	0.275
Complete (C)	There is total information disclosure, providing access to any / all data on the system. Alternatively, access to only some restricted information is obtained, but the disclosed information presents a direct, serious impact.	0.660

ईमानदारी

सत्यनिष्ठा (I) मीट्रिक शोषित प्रणाली की अखंडता पर प्रभाव का वर्णन करता है।

महत्व	विवरण	अंक
None (N)	There is no impact on the integrity of the system.	0.0
Partial (P)	Modification of some data or system files is possible, but the scope of the modification is limited.	0.275
Complete (C)	There is total loss of integrity; the attacker can modify any files or information on the target system.	0.660

उपलब्धता

उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। हमले जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, सिस्टम की उपलब्धता को प्रभावित करते हैं।

महत्व	विवरण	अंक
None (N)	There is no impact on the availability of the system.	0.0
Partial (P)	There is reduced performance or loss of some functionality.	0.275
Complete (C)	There is total loss of availability of the attacked resource.	0.660

गणना

इन छह मेट्रिक्स का उपयोग शोषण क्षमता की गणना करने और भेद्यता के उप-स्कोर को प्रभावित करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

${\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}$

${\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))$

$f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}$

${\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))$ भेद्यता के लिए CVSS वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण

बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे बंद करने की क्षमता भी सम्मिलित है:

Metric	महत्व	विवरण
Access Vector	Network	The vulnerability may be accessed from any network that can access the target system - typically the whole of the internet
Access Complexity	Low	There are no special requirements for access
Authentication	None	There is no requirement for authentication in order to exploit the vulnerability
Confidentiality	Partial	The attacker can read some files and data on the system
Integrity	Partial	The attacker can alter some files and data on the system
Availability	Complete	The attacker can cause the system and web service to become unavailable / unresponsive by shutting the system down

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा। इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी तरह से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स का मूल्य भेद्यता के जीवनकाल में बदल जाता है, क्योंकि शोषण विकसित, खुलासा और स्वचालित होता है और जैसे ही शमन और सुधार उपलब्ध होते हैं।

शोषणशीलता

शोषण क्षमता (ई) मीट्रिक शोषण तकनीकों या स्वचालित शोषण कोड की वर्तमान स्थिति का वर्णन करती है।

महत्व	विवरण	अंक
Unproven (U)	No exploit code is available, or the exploit is theoretical	0.85
Proof-of-concept (P)	Proof-of-concept exploit code or demonstration attacks are available, but not practical for widespread use. Not functional against all instances of the vulnerability.	0.9
Functional (F)	Functional exploit code is available, and works in most situations where the vulnerability is present.	0.95
High (H)	The vulnerability can be exploited by automated code, including mobile code (such as a worm or virus).	1.0
Not Defined (ND)	This is a signal to ignore this score.	1.0

उपचारात्मक स्तर

भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को कम करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।

महत्व	विवरण	अंक
Official Fix (O)	A complete vendor solution is available - either a patch or an upgrade.	0.87
Temporary Fix (T)	There is an official but temporary fix / mitigation available from the vendor.	0.90
Workaround (W)	There is an unofficial, non-vendor solution or mitigation available - perhaps developed or suggested by users of the affected product or another third party.	0.95
Unavailable (U)	There is no solution available, or it is impossible to apply a suggested solution. This is the usual initial state of the remediation level when a vulnerability is identified.	1.0
Not Defined (ND)	This is a signal to ignore this score.	1.0

रिपोर्ट विश्वास

भेद्यता की रिपोर्ट विश्वास (आरसी) भेद्यता के अस्तित्व में विश्वास के स्तर को मापता है और भेद्यता के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

मूल्य	विवरण	अंक
अपुष्ट (यूसी)	अपुष्ट स्रोत, या एकाधिक परस्पर विरोधी स्रोत। अफवाह भेद्यता।	0.9
असंपुष्ट (यूआर)	कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है	0.95
पुष्टि (सी)	प्रभावित उत्पाद के विक्रेता या निर्माता द्वारा स्वीकार और पुष्टि की गई।	1.0
परिभाषित नहीं (एनडी)	यह इस स्कोर को अनदेखा करने का संकेत है।	1.0

गणना

इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पहले से ही संबंधित वेक्टर के साथ भेद्यता के लिए अस्थायी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:

${\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})$

उदाहरण

ऊपर दिए गए उदाहरण के साथ जारी रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:

Metric	महत्व	विवरण
Exploitability	Proof-of-concept	Proof-of concept, non-automated code is provided to show basic exploit functionality.
Remediation Level	Unavailable	The vendor has not yet had the opportunity to provide a mitigation or fix.
Report Confidence	Unconfirmed	There has been a single report of the vulnerability

यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक कम कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से कम नहीं हो सकता है, और यदि भेद्यता के लिए स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।

पर्यावरण मेट्रिक्स

पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग कमजोर उत्पाद या सॉफ़्टवेयर को तैनात करने के तरीके के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, आमतौर पर प्रभावित पक्षों द्वारा।

संपार्श्विक क्षति संभावित

संपार्श्विक क्षति क्षमता (सीडीपी) मीट्रिक भौतिक संपत्ति जैसे उपकरण (और जीवन) पर संभावित नुकसान या प्रभाव को मापता है, या यदि भेद्यता का शोषण किया जाता है तो प्रभावित संगठन पर वित्तीय प्रभाव पड़ता है।

महत्व	विवरण	अंक
None (N)	No potential for loss of property, revenue or productivity	0
Low (L)	Slight damage to assets, or minor loss of revenue or productivity	0.1
Low-Medium (LM)	Moderate damage or loss	0.3
Medium-High (MH)	Significant damage or loss	0.4
High (H)	Catastrophic damage or loss	0.5
Not Defined (ND)	This is a signal to ignore this score.	0

लक्ष्य वितरण

लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में कमजोर प्रणालियों के अनुपात को मापता है।

महत्व	विवरण	अंक
None (N)	No target systems exist, or they only exist in laboratory settings	0
Low (L)	1–25% of systems at risk	0.25
Medium (M)	26–75% of systems at risk	0.75
High (H)	76–100% of systems at risk	1.0
Not Defined (ND)	This is a signal to ignore this score.	1.0

इम्पैक्ट सब्सकोर संशोधक

तीन और मेट्रिक्स गोपनीयता (सीआर), अखंडता (आईआर) और उपलब्धता (एआर) के लिए विशिष्ट सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को उपयोगकर्ताओं के पर्यावरण के अनुसार ठीक-ठाक किया जा सकता है।

महत्व	विवरण	अंक
Low (L)	Loss of (confidentiality / integrity / availability) is likely to have only a limited effect on the organisation.	0.5
Medium (M)	Loss of (confidentiality / integrity / availability) is likely to have a serious effect on the organisation.	1.0
High (H)	Loss of (confidentiality / integrity / availability) is likely to have a catastrophic effect on the organisation.	1.51
Not Defined (ND)	This is a signal to ignore this score.	1.0

गणना

पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पहले से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।

${\textsf {AdjustedImpact}}=\min(10,10.41\times (1-(1-{\textsf {ConfImpact}}\times {\textsf {ConfReq}})\times (1-{\textsf {IntegImpact}}\times {\textsf {IntegReq}})\times (1-{\textsf {AvailImpact}}\times {\textsf {AvailReq}})))$

${\textsf {AdjustedTemporal}}={\textsf {TemporalScore}}{\text{ recomputed with the }}{\textsf {BaseScore}}{\text{s }}{\textsf {Impact}}{\text{ sub-equation replaced with the }}{\textsf {AdjustedImpact}}{\text{ equation}}$

${\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})$

उदाहरण

यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

Metric	महत्व	विवरण
Collateral Damage Potential	Medium-High	This value would depend on what information the attacker is able to access if a vulnerable system is exploited. In this case I am assuming that some personal banking information is available, therefore there is a significant reputational impact on the bank.
Target Distribution	High	All of the bank's web servers run the vulnerable software.
Confidentiality Requirement	High	Customers expect their banking information to be confidential.
Integrity Requirement	High	Financial and personal information should not be changeable without authorization.
Availability Requirement	Low	Unavailability of online banking services is likely to be an inconvenience for customers, but not catastrophic.

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में महत्वपूर्ण भेद्यता है।

===संस्करण 2=== की आलोचना कई विक्रेताओं और संगठनों ने CVSSv2 के प्रति असंतोष व्यक्त किया।

जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की कमियों और विफलताओं के बारे में FIRST को सार्वजनिक पत्र प्रकाशित किया।^[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की कमजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य पेश किया।^[10]

संस्करण 3

इनमें से कुछ आलोचनाओं को दूर करने के लिए, CVSS संस्करण 3 का विकास 2012 में शुरू किया गया था। अंतिम विनिर्देश को CVSS v3.0 नाम दिया गया था और जून 2015 में जारी किया गया था। विशिष्टता दस्तावेज़ के अलावा, उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी जारी किए गए थे।^[11]

कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की मौजूदा स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), कम (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग^[12] को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे .^[13]

संस्करण 2 से परिवर्तन

बेस मेट्रिक्स

बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को कमजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का फायदा उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के ्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन कमजोरियों का फायदा उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को CVSSv2 के आंशिक, पूर्ण के बजाय कोई नहीं, कम, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि ्सेस विशेषाधिकारों को अलग मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर हमलावर को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो अलग मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन कमजोरियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स === टेम्पोरल मेट्रिक्स CVSSv2 से अनिवार्य रूप से अपरिवर्तित थे।

पर्यावरण मेट्रिक्स

CVSSv2 के पर्यावरणीय मेट्रिक्स को पूरी तरह से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।

संस्करण 3 की आलोचना

सितंबर 2015 में ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में कमजोरियों को स्कोर करने में किया जाता है।^[14]

संस्करण 3.1

CVSS के लिए मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना मौजूदा CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।

FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही कमजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक लागू होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।

सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और मौजूदा बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। CVSS के विस्तार की नई मानक विधि, जिसे CVSS ्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

दत्तक ग्रहण

सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा कमजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:

राष्ट्रीय भेद्यता डेटाबेस | राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)^[15]
ओपन सोर्स भेद्यता डेटाबेस | ओपन सोर्स भेद्यता डेटाबेस (OSVDB)^[16]
सीईआरटी समन्वय केंद्र,^[17] जो विशेष रूप से CVSSv2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है

यह भी देखें

सामान्य कमजोरी गणना (सीडब्ल्यूई)
सामान्य भेद्यताएं और जोखिम (सीवीई)
आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)

संदर्भ

↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
↑ ^2.0 ^2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
↑ "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
↑ "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18. MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
↑ "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
↑ "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
↑ "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
↑ {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
↑ "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
↑ "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
↑ "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
↑ "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
↑ "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
↑ "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
↑ "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
↑ "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.

बाहरी संबंध

[cvss3.1-1] "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.

[:0-2] 2.0 ^2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.

[cvssv1-3] "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.

[4] "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18. MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.

[cvssv2-5] "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.

[cvss3-6] "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.

[cvss3.0-7] "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.

[cvssv2_specs-8] "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.

[rbs_failures_cvssv2-9] {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}

[oracle_partialplus-10] "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.

[cvssv3.0_specs-11] "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.

[cvss3.0_severities-12] "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.

[nist_ranges-13] "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.

[cert_cvss_iot-14] "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.

[nvdb_main-15] "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.

[osvdb_main-16] "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.

[cert_uses_cvss-17] "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

@@ Line 1: / Line 1: @@
-{{Short description|Standard for assessing computer system vulnerabilities}}सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) [[कंप्यूटर सुरक्षा]] [[भेद्यता (कंप्यूटिंग)]] की गंभीरता का आकलन करने के लिए एक स्वतंत्र और [[खुला मानक]] [[तकनीकी मानक]] है। सीवीएसएस कमजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना एक सूत्र के आधार पर की जाती है जो कई [[सॉफ्टवेयर मीट्रिक]] पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और एक संगठन के भीतर व्यापक रूप से कमजोर प्रणाली क्रमशः मौजूद हैं।
+{{Short description|Standard for assessing computer system vulnerabilities}}सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) [[कंप्यूटर सुरक्षा]] [[भेद्यता (कंप्यूटिंग)]] की गंभीरता का आकलन करने के लिए  स्वतंत्र और [[खुला मानक]] [[तकनीकी मानक]] है। सीवीएसएस कमजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना  सूत्र के आधार पर की जाती है जो कई [[सॉफ्टवेयर मीट्रिक]] पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और  संगठन के भीतर व्यापक रूप से कमजोर प्रणाली क्रमशः मौजूद हैं।
 CVSS (CVSSv3.1) का वर्तमान संस्करण जून 2019 में जारी किया गया था।<ref name="cvss3.1">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>
@@ Line 6: / Line 6: @@
 == इतिहास ==
-/2004 में [[राष्ट्रीय अवसंरचना सलाहकार परिषद]] (NIAC) द्वारा किए गए शोध ने फरवरी 2005 में CVSS वर्जन 1 (CVSSv1) को लॉन्च किया।<ref name=":0">{{Cite journal |last1=Johnson |first1=Pontus |last2=Lagerstrom |first2=Robert |last3=Ekstedt |first3=Mathias |last4=Franke |first4=Ulrik |date=2018-11-01 |title=Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis |url=https://ieeexplore.ieee.org/document/7797152 |journal=IEEE Transactions on Dependable and Secure Computing |volume=15 |issue=6 |pages=1002–1015 |doi=10.1109/TDSC.2016.2644614 |s2cid=53287880 |issn=1545-5971}}</ref> सॉफ़्टवेयर भेद्यताओं की खुली और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, NIAC ने भविष्य के विकास के लिए CVSS का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम (Forum_of_Incident_Response_and_Security_Teams) का चयन किया।<ref name="cvssv1">{{cite web |url=https://www.first.org/cvss/v1 |title=सीवीएसएस v1 आर्काइव|author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref><ref>{{cite web
+/2004 में [[राष्ट्रीय अवसंरचना सलाहकार परिषद]] (NIAC) द्वारा किए गए शोध ने फरवरी 2005 में CVSS वर्जन 1 (CVSSv1) को लॉन्च किया।<ref name=":0">{{Cite journal |last1=Johnson |first1=Pontus |last2=Lagerstrom |first2=Robert |last3=Ekstedt |first3=Mathias |last4=Franke |first4=Ulrik |date=2018-11-01 |title=Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis |url=https://ieeexplore.ieee.org/document/7797152 |journal=IEEE Transactions on Dependable and Secure Computing |volume=15 |issue=6 |pages=1002–1015 |doi=10.1109/TDSC.2016.2644614 |s2cid=53287880 |issn=1545-5971}}</ref> सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, NIAC ने भविष्य के विकास के लिए CVSS का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम (Forum_of_Incident_Response_and_Security_Teams) का चयन किया।<ref name="cvssv1">{{cite web |url=https://www.first.org/cvss/v1 |title=सीवीएसएस v1 आर्काइव|author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref><ref>{{cite web
 |title=NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC
 |url=https://www.cisa.gov/sites/default/files/publications/niac-qbm-minutes-04-12-05-508.pdf
@@ Line 21: / Line 21: @@
 भेद्यता के आंतरिक गुणों के लिए #बेस मेट्रिक्स
 #टेम्पोरल मेट्रिक्स उन विशेषताओं के लिए जो भेद्यता के जीवनकाल में विकसित होती हैं
-कमजोरियों के लिए #पर्यावरण मेट्रिक्स जो एक विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं
+कमजोरियों के लिए #पर्यावरण मेट्रिक्स जो  विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं
-इन मीट्रिक समूहों में से प्रत्येक के लिए एक संख्यात्मक अंक उत्पन्न होता है। एक वेक्टर स्ट्रिंग (या CVSSv2 में केवल वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
+इन मीट्रिक समूहों में से प्रत्येक के लिए  संख्यात्मक अंक उत्पन्न होता है।  वेक्टर स्ट्रिंग (या CVSSv2 में केवल वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
 == संस्करण 2 ==
-CVSSv2 के लिए संपूर्ण दस्तावेज़ीकरण FIRST से उपलब्ध है।<ref name="cvssv2_specs">{{cite web|url=https://www.first.org/cvss/v2/guide |title=सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण|publisher=First.org, Inc. |date= |accessdate=2015-11-15}}</ref> नीचे एक सारांश दिया गया है।
+CVSSv2 के लिए संपूर्ण दस्तावेज़ीकरण FIRST से उपलब्ध है।<ref name="cvssv2_specs">{{cite web|url=https://www.first.org/cvss/v2/guide |title=सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण|publisher=First.org, Inc. |date= |accessdate=2015-11-15}}</ref> नीचे  सारांश दिया गया है।
 === बेस मेट्रिक्स ===
-==== एक्सेस वेक्टर ====
+==== ्सेस वेक्टर ====
-एक्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।
+्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
-| Local (L)|| The attacker must either have physical access to the vulnerable system (e.g. [[IEEE_1394#Security_issues|firewire attacks]]) or a local account (e.g. a [[privilege escalation]] attack).||0.395
+| स्थानीय (एल)|| हमलावर के निकट या तो कमजोर प्रणाली (जैसे फायरवायर हमले) या एक स्थानीय खाते (जैसे एक विशेषाधिकार वृद्धि हमला) तक भौतिक पहुंच होनी चाहिए।||0.395
 |-
-| Adjacent Network (A)|| The attacker must have access to the broadcast or collision domain of the vulnerable system (e.g. [[ARP spoofing]], Bluetooth attacks).||0.646
+| आसन्न नेटवर्क (ए)|| हमलावर के निकट कमजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ हमले)।||0.646
 |-
-| Network (N)|| The vulnerable interface is working at layer 3 or above of the OSI Network stack. These types of vulnerabilities are often described as remotely exploitable (e.g. a remote buffer overflow in a network service)||1.0
+| नेटवर्क (एन)||असुरक्षित इंटरफ़ेस OSI नेटवर्क स्टैक की परत 3 या उससे ऊपर पर काम कर रहा है। इस प्रकार की कमजोरियों को अक्सर दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में एक दूरस्थ बफर अतिप्रवाह)
+|1.0
 |}
@@ Line 50: / Line 51: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
-| High (H)|| Specialised conditions exist, such as a [[Race condition#Computer_security|race condition]] with a narrow window, or a requirement for [[Social engineering (security)|social engineering]] methods that would be readily noticed by knowledgeable people.||0.35
+| उच्च (एच)|| विशिष्ट स्थितियाँ मौजूद हैं, जैसे एक संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।||0.35
 |-
-| Medium (M)|| There are some additional requirements for the attack, such as a limit on the origin of the attack, or a requirement for the vulnerable system to be running with an uncommon, non-default configuration.||0.61
+| मध्यम (एम)||हमले के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे हमले की उत्पत्ति पर एक सीमा, या एक असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ कमजोर प्रणाली के चलने की आवश्यकता।
+|0.61
 |-
-| Low (L)|| There are no special conditions for exploiting the vulnerability, such as when the system is available to large numbers of users, or the vulnerable configuration is ubiquitous.||0.71
+| कम (एल)|| भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो।||0.71
 |}
@@ Line 62: / Line 64: @@
 ====प्रमाणीकरण====
-ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब एक हमलावर को लक्ष्य का फायदा उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण शामिल नहीं है। स्थानीय रूप से शोषक कमजोरियों के लिए, यह मान केवल एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
+ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब  हमलावर को लक्ष्य का फायदा उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक कमजोरियों के लिए, यह मान केवल ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
-| Multiple (M)|| Exploitation of the vulnerability requires that the attacker authenticate two or more times, even if the same credentials are used each time.||0.45
+| एकाधिक (एम)|| भेद्यता के शोषण के लिए आवश्यक है कि हमलावर दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए।||0.45
 |-
-| Single (S) || The attacker must authenticate once in order to exploit the vulnerability.||0.56
+| एकल (एस) || भेद्यता का फायदा उठाने के लिए हमलावर को एक बार प्रमाणित करना होगा।||0.56
 |-
-| None (N)|| There is no requirement for the attacker to authenticate.||0.704
+| कोई नहीं (एन)|| हमलावर को प्रमाणित करने की कोई आवश्यकता नहीं है।||0.704
 |}
@@ Line 81: / Line 83: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
 | None (N) || There is no impact on the confidentiality of the system.||0.0
@@ Line 95: / Line 97: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
 | None (N) || There is no impact on the integrity of the system.||0.0
@@ Line 109: / Line 111: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
 | None (N) || There is no impact on the availability of the system.||0.0
@@ Line 144: / Line 146: @@
 ==== उदाहरण ====
-एक बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो एक दूरस्थ उपयोगकर्ता को सिस्टम का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे बंद करने की क्षमता भी शामिल है:
+बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो  दूरस्थ उपयोगकर्ता को सिस्टम का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे बंद करने की क्षमता भी सम्मिलित है:
 {| class="wikitable"
 |-
-! Metric !! Value !! Description
+! Metric !! महत्व !! विवरण
 |-
 | Access Vector || Network || The vulnerability may be accessed from any network that can access the target system - typically the whole of the internet
@@ Line 162: / Line 164: @@
 | Availability || Complete || The attacker can cause the system and web service to become unavailable / unresponsive by shutting the system down
 |}
-यह 9.0 का समग्र आधार स्कोर देते हुए 10 का एक शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा।
+यह 9.0 का समग्र आधार स्कोर देते हुए 10 का  शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा।
-इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर एक साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी तरह से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।
+इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर  साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी तरह से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।
 === टेम्पोरल मेट्रिक्स ===
@@ Line 173: / Line 175: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
 | Unproven (U) || No exploit code is available, or the exploit is theoretical || 0.85
@@ Line 191: / Line 193: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
 | Official Fix (O) || A complete vendor solution is available - either a patch or an upgrade. || 0.87
@@ Line 209: / Line 211: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! मूल्य !! विवरण !! अंक
 |-
-| Unconfirmed (UC) || A single unconfirmed source, or multiple conflicting sources. Rumored vulnerability. || 0.9
+| अपुष्ट (यूसी) || अपुष्ट स्रोत, या एकाधिक परस्पर विरोधी स्रोत। अफवाह भेद्यता। || 0.9
 |-
-| Uncorroborated (UR) || Multiple sources that broadly agree - there may be a level of remaining uncertainty about the vulnerability || 0.95
+| असंपुष्ट (यूआर) || कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है || 0.95
 |-
-| Confirmed (C) || Acknowledged and confirmed by the vendor or manufacturer of the affected product. || 1.0
+| पुष्टि (सी) || प्रभावित उत्पाद के विक्रेता या निर्माता द्वारा स्वीकार और पुष्टि की गई। || 1.0
 |-
-| Not Defined (ND) || This is a signal to ignore this score. || 1.0
+| परिभाषित नहीं (एनडी) || यह इस स्कोर को अनदेखा करने का संकेत है। || 1.0
 |}
@@ Line 235: / Line 237: @@
 {| class="wikitable"
 |-
-! Metric !! Value !! Description
+! Metric !! महत्व !! विवरण
 |-
 | Exploitability || Proof-of-concept || Proof-of concept, non-automated code is provided to show basic exploit functionality.
@@ Line 243: / Line 245: @@
 | Report Confidence || Unconfirmed || There has been a single report of the vulnerability
 |}
-यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का एक पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).
+यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का  पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).
 यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।
-वेंडर की ओर से एक अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक कम कर देगा, जबकि एक आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर एक निश्चित स्तर से कम नहीं हो सकता है, और यदि भेद्यता के लिए एक स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।
+वेंडर की ओर से  अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक कम कर देगा, जबकि  आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर  निश्चित स्तर से कम नहीं हो सकता है, और यदि भेद्यता के लिए  स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।
 === पर्यावरण मेट्रिक्स ===
@@ Line 256: / Line 258: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
 | None (N) || No potential for loss of property, revenue or productivity || 0
@@ Line 276: / Line 278: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
 | None (N) || No target systems exist, or they only exist in laboratory settings || 0
@@ Line 294: / Line 296: @@
 {| class="wikitable"
 |-
-! Value !! Description !! Score
+! महत्व !! विवरण !! अंक
 |-
 | Low (L) || Loss of (confidentiality / integrity / availability) is likely to have only a limited effect on the organisation. || 0.5
@@ Line 323: / Line 325: @@
 === उदाहरण ===
-यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से एक अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:
+यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से  अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:
 {| class="wikitable"
 |-
-! Metric !! Value !! Description
+! Metric !! महत्व !! विवरण
 |-
 | Collateral Damage Potential || Medium-High || This value would depend on what information the attacker is able to access if a vulnerable system is exploited. In this case I am assuming that some personal banking information is available, therefore there is a significant reputational impact on the bank.
@@ Line 339: / Line 341: @@
 | Availability Requirement || Low || Unavailability of online banking services is likely to be an inconvenience for customers, but not catastrophic.
 |}
-यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में एक महत्वपूर्ण भेद्यता है।
+यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में  महत्वपूर्ण भेद्यता है।
 ===संस्करण 2=== की आलोचना
 कई विक्रेताओं और संगठनों ने CVSSv2 के प्रति असंतोष व्यक्त किया।
-जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की कमियों और विफलताओं के बारे में FIRST को एक सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2">{{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की कमजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
+जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की कमियों और विफलताओं के बारे में FIRST को  सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2">{{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की कमजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
 आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य पेश किया।<ref name="oracle_partialplus">{{cite web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html |title=सीवीएसएस स्कोरिंग सिस्टम|publisher=Oracle |date=2010-06-01 |accessdate=2015-11-15}}</ref>
 == संस्करण 3 ==
-इनमें से कुछ आलोचनाओं को दूर करने के लिए, CVSS संस्करण 3 का विकास 2012 में शुरू किया गया था। अंतिम विनिर्देश को CVSS v3.0 नाम दिया गया था और जून 2015 में जारी किया गया था। एक विशिष्टता दस्तावेज़ के अलावा, एक उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी जारी किए गए थे।<ref name="cvssv3.0_specs">{{cite web|url=https://www.first.org/cvss/specification-document |title=CVSS v3,.0 विशिष्टता दस्तावेज़|publisher=FIRST, Inc. |date= |accessdate=2015-11-15}}</ref>
+इनमें से कुछ आलोचनाओं को दूर करने के लिए, CVSS संस्करण 3 का विकास 2012 में शुरू किया गया था। अंतिम विनिर्देश को CVSS v3.0 नाम दिया गया था और जून 2015 में जारी किया गया था।  विशिष्टता दस्तावेज़ के अलावा,  उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी जारी किए गए थे।<ref name="cvssv3.0_specs">{{cite web|url=https://www.first.org/cvss/specification-document |title=CVSS v3,.0 विशिष्टता दस्तावेज़|publisher=FIRST, Inc. |date= |accessdate=2015-11-15}}</ref>
-कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की मौजूदा स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को शामिल करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), कम (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग<ref name="cvss3.0_severities">{{cite web |url=https://www.first.org/cvss/specification-document#i5 |title=सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)|author=<!--Staff writer(s); no by-line.--> |publisher=First.org |accessdate=2016-01-10}}</ref> को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे
+कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की मौजूदा स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), कम (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग<ref name="cvss3.0_severities">{{cite web |url=https://www.first.org/cvss/specification-document#i5 |title=सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)|author=<!--Staff writer(s); no by-line.--> |publisher=First.org |accessdate=2016-01-10}}</ref> को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे
 .<ref name="nist_ranges">{{cite web |url=http://nvd.nist.gov/cvss.cfm |title=NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2|author=<!--Staff writer(s); no by-line.--> |work=National Vulnerability Database |publisher=National Institute of Standards and Technology |accessdate=March 2, 2013}}</ref>
@@ Line 357: / Line 359: @@
 ==== बेस मेट्रिक्स ====
-बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को कमजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का फायदा उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के एक्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन कमजोरियों का फायदा उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
+बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को कमजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का फायदा उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के ्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन कमजोरियों का फायदा उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
 गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को CVSSv2 के आंशिक, पूर्ण के बजाय कोई नहीं, कम, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
-एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को एक अलग मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर हमलावर को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो एक अलग मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।
+्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि ्सेस विशेषाधिकारों को  अलग मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर हमलावर को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो  अलग मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।
-अटैक वेक्टर (एवी) ने उन कमजोरियों का वर्णन करने के लिए भौतिक (पी) के एक नए मीट्रिक मूल्य को शामिल किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।
+अटैक वेक्टर (एवी) ने उन कमजोरियों का वर्णन करने के लिए भौतिक (पी) के  नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।
 टेम्पोरल मेट्रिक्स ===
@@ Line 369: / Line 371: @@
 ==== पर्यावरण मेट्रिक्स ====
-CVSSv2 के पर्यावरणीय मेट्रिक्स को पूरी तरह से हटा दिया गया और अनिवार्य रूप से एक दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। एक विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।
+CVSSv2 के पर्यावरणीय मेट्रिक्स को पूरी तरह से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है।  विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।
 ===संस्करण 3 की आलोचना===
-सितंबर 2015 में एक ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में कमजोरियों को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>
+सितंबर 2015 में  ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में कमजोरियों को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>
 == संस्करण 3.1 ==
-CVSS के लिए एक मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना मौजूदा CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता एक प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।
+CVSS के लिए  मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना मौजूदा CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता  प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।
-FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही कमजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक लागू होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए एक नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के एक बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।
+FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही कमजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक लागू होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए  नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के  बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।
-सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और मौजूदा बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं शामिल हैं। CVSS के विस्तार की एक नई मानक विधि, जिसे CVSS एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को शामिल करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को शामिल करने के लिए विस्तारित और परिष्कृत किया गया है।
+सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और मौजूदा बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। CVSS के विस्तार की  नई मानक विधि, जिसे CVSS ्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।
 == दत्तक ग्रहण ==
-सीवीएसएस के संस्करणों को संगठनों और कंपनियों की एक विस्तृत श्रृंखला द्वारा कमजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न शामिल हैं:
+सीवीएसएस के संस्करणों को संगठनों और कंपनियों की  विस्तृत श्रृंखला द्वारा कमजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:
 * [[राष्ट्रीय भेद्यता डेटाबेस]] | राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)<ref name="nvdb_main">{{cite web|url=http://nvd.nist.gov/home.cfm |title=राष्ट्रीय भेद्यता डेटाबेस होम|publisher=Nvd.nist.gov |date= |accessdate=2013-04-16}}</ref>
 * [[ओपन सोर्स भेद्यता डेटाबेस]] | ओपन सोर्स भेद्यता डेटाबेस (OSVDB)<ref name="osvdb_main">{{cite web|url=http://www.osvdb.org/ |title=ओपन सोर्स भेद्यता डेटाबेस|publisher=OSVDB |date= |accessdate=2013-04-16}}</ref>
@@ Line 388: / Line 390: @@
 == यह भी देखें ==
-*सामान्य कमजोरी गणना (CWE)
+*सामान्य कमजोरी गणना (सीडब्ल्यूई)
 *सामान्य भेद्यताएं और जोखिम (सीवीई)
 *आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)

Anonymous

Search

कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम: Difference between revisions

Revision as of 12:09, 13 May 2023

इतिहास

शब्दावली

संस्करण 2

बेस मेट्रिक्स

्सेस वेक्टर

पहुंच जटिलता

प्रमाणीकरण

प्रभाव मेट्रिक्स

गोपनीयता

ईमानदारी

उपलब्धता

गणना

उदाहरण

टेम्पोरल मेट्रिक्स

शोषणशीलता

उपचारात्मक स्तर

रिपोर्ट विश्वास

गणना

उदाहरण

पर्यावरण मेट्रिक्स

संपार्श्विक क्षति संभावित

लक्ष्य वितरण

इम्पैक्ट सब्सकोर संशोधक

गणना

उदाहरण

संस्करण 3

संस्करण 2 से परिवर्तन

बेस मेट्रिक्स

पर्यावरण मेट्रिक्स

संस्करण 3 की आलोचना

संस्करण 3.1

दत्तक ग्रहण

यह भी देखें

संदर्भ

बाहरी संबंध

Navigation

Wiki tools

Page tools

Other projects

Categories