कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम: Difference between revisions

Revision as of 13:42, 13 May 2023

सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सुरक्षा भेद्यता (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए स्वतंत्र और खुला मानक तकनीकी मानक है। सीवीएसएस न्यूनजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिएएन्यूनात्र सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से न्यूनजोर प्रणाली क्रमशः उपस्थित हैं।

CVSS (CVSSv3.1) का वर्तमान संस्करण जून 2019 में जारी किया गया था।^[1]

इतिहास

2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (NIAC) द्वारा किए गए शोध ने फरवरी 2005 में CVSS वर्जन 1 (CVSSv1) को लॉन्च किया।^[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, NIAC ने भविष्य के विकास के लिए CVSS का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम (Forum_of_Incident_Response_and_Security_Teams) का चयन किया।^[3]^[4] उत्पादन में CVSSv1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि CVSS के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर काम अप्रैल 2005 में शुरू हुआ और अंतिम विनिर्देश जून 2007 में शुरू किया गया।^[5] आगे की प्रतिक्रिया के परिणामस्वरूप CVSS संस्करण 3 पर काम शुरू हुआ^[6] 2012 में, जून 2015 में जारी CVSSv3.0 के साथ समाप्त।^[2]^[7]

शब्दावली

सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है: भेद्यता के आंतरिक गुणों के लिए #बेस मेट्रिक्स

टेम्पोरल मेट्रिक्स उन विशेषताओं के लिए जो भेद्यता के जीवनकाल में विकसित होती हैं

न्यूनजोरियों के लिए #पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या CVSSv2 मेंएन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

संस्करण 2

CVSSv2 के लिए संपूर्ण दस्तावेज़ीकरण FIRST से उपलब्ध है।^[8] नीचे सारांश दिया गया है।

बेस मेट्रिक्स

्सेस वेक्टर

्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।

महत्व	विवरण	अंक
स्थानीय (एल)	हमलावर के निकट या तो न्यूनजोर प्रणाली (जैसे फायरवायर हमले) या स्थानीय खाते (जैसे विशेषाधिकार वृद्धि हमला) तक भौतिक पहुंच होनी चाहिए।	0.395
आसन्न नेटवर्क (ए)	हमलावर के निकट न्यूनजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ हमले)।	0.646
नेटवर्क (एन)	असुरक्षित इंटरफ़ेस OSI नेटवर्क स्टैक की परत 3 या उससे ऊपर पर काम कर रहा है। इस प्रकार की न्यूनजोरियों को अक्सर दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में दूरस्थ बफर अतिप्रवाह)	1.0

पहुंच जटिलता

पहुंच जटिलता (एसी) मीट्रिक बताती है कि खोजी गई भेद्यता का लाभ उठाना कितना आसान या कठिन है।

महत्व	विवरण	अंक
उच्च (एच)	विशिष्ट स्थितियाँ उपस्थित हैं, जैसे संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।	0.35
मध्यम (एम)	हमले के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे हमले की उत्पत्ति पर सीमा, या असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ न्यूनजोर प्रणाली के चलने की आवश्यकता।	0.61
न्यून (एल)	भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो।	0.71

प्रमाणीकरण

ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब हमलावर को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक न्यूनजोरियों के लिए, यह मानएन्यूनात्र ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।

महत्व	विवरण	अंक
ाधिक (एम)	भेद्यता के शोषण के लिए आवश्यक है कि हमलावर दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए।	0.45
ल (एस)	भेद्यता का लाभ उठाने के लिए हमलावर को बार प्रमाणित करना होगा।	0.56
कोई नहीं (एन)	हमलावर को प्रमाणित करने की कोई आवश्यकता नहीं है।	0.704

प्रभाव मेट्रिक्स

गोपनीयता

गोपनीयता (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की गोपनीयता पर प्रभाव का वर्णन करता है।

महत्व	विवरण	अंक
कोई नहीं (एन)	सिस्टम की गोपनीयता पर कोई प्रभाव नहीं पड़ता है।	0.0
आंशिक (पी)	जानकारी का काफी खुलासा हुआ है, लेकिन नुकसान का दायरा इस तरह सीमित है कि सभी डेटा उपलब्ध नहीं हैं।	0.275
पूर्ण (सी)	सिस्टम पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से,एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है।	0.660

ईमानदारी

सत्यनिष्ठा (I) मीट्रिक शोषित प्रणाली की अखंडता पर प्रभाव का वर्णन करता है।

महत्व	विवरण	अंक
कोई नहीं (एन)	सिस्टम की अखंडता पर कोई प्रभाव नहीं पड़ता है।	0.0
आंशिक (पी)	कुछ डेटा या सिस्टम फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का दायरा सीमित है।	0.275
पूर्ण (सी)	अखंडता का कुल नुकसान होता है; हमलावर लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है।	0.660

उपलब्धता

उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। हमले जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, सिस्टम की उपलब्धता को प्रभावित करते हैं।

महत्व	विवरण	अंक
कोई नहीं (एन)	सिस्टम की उपलब्धता पर कोई प्रभाव नहीं पड़ता है।	0.0
आंशिक (पी)	प्रदर्शन न्यून हो गया है या कुछ कार्यक्षमता का नुकसान हुआ है।	0.275
पूर्ण (सी)	हमला किए गए संसाधन की उपलब्धता का कुल नुकसान हुआ है।	0.660

गणना

इन छह मेट्रिक्स का उपयोग शोषण क्षमता की गणना करने और भेद्यता के उप-स्कोर को प्रभावित करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

${\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}$

${\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))$

$f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}$

${\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))$ भेद्यता के लिए CVSS वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण

बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे बंद करने की क्षमता भी सम्मिलित है:

Metric	महत्व	विवरण
्सेस वेक्टर	नेटवर्क	भेद्यता को किसी भी नेटवर्क से ्सेस किया जा सकता है जो लक्ष्य प्रणाली तक पहुंच सकता है - सामान्यतः संपूर्ण इंटरनेट
्सेस जटिलता	न्यून	पहुँच के लिए कोई विशेष आवश्यकताएँ नहीं हैं
प्रमाणीकरण	कोई नहीं	भेद्यता का लाभ उठाने के लिए प्रमाणीकरण की कोई आवश्यकता नहीं है
गोपनीयता	आंशिक	हमलावर सिस्टम पर उपस्थित कुछ फाइलों और डेटा को पढ़ सकता है
अखंडता	आंशिक	हमलावर सिस्टम पर कुछ फाइलों और डेटा को बदल सकता है
उपलब्धता	पूर्ण	हमलावर सिस्टम को बंद करके सिस्टम और वेब सेवा को अनुपलब्ध / अनुत्तरदायी बना सकता है

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा। इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी तरह से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स का मूल्य भेद्यता के जीवनकाल में बदल जाता है, क्योंकि शोषण विकसित, खुलासा और स्वचालित होता है और जैसे ही शमन और सुधार उपलब्ध होते हैं।

शोषणशीलता

शोषण क्षमता (ई) मीट्रिक शोषण तकनीकों या स्वचालित शोषण कोड की वर्तमान स्थिति का वर्णन करती है।

महत्व	विवरण	अंक
अप्रमाणित (यू)	कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है	0.85
सबूत की अवधारणा (पी)	प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन हमले उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है।	0.9
कार्यात्मक (एफ)	कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में काम करता है जहां भेद्यता उपस्थित है।	0.95
उच्च (एच)	मोबाइल कोड (जैसे कीड़ा या वायरस) सहित स्वचालित कोड द्वारा भेद्यता का लाभ उठाया जा सकता है।	1.0
परिभाषित नहीं (एनडी)	यह इस स्कोर को अनदेखा करने का संकेत है।	1.0

उपचारात्मक स्तर

भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को न्यून करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।

महत्व	विवरण	अंक
आधिकारिक फिक्स (ओ)	पूर्ण विक्रेता समाधान उपलब्ध है - या तो पैच या अपग्रेड।	0.87
अस्थायी सुधार (टी)	विक्रेता से आधिकारिक लेकिन अस्थायी सुधार/शमन उपलब्ध है।	0.90
समाधान (डब्ल्यू)	अनौपचारिक, गैर-विक्रेता समाधान या शमन उपलब्ध है - शायद प्रभावित उत्पाद या किसी अन्य तृतीय पक्ष के उपयोगकर्ताओं द्वारा विकसित या सुझाया गया हो।	0.95
अनुपलब्ध (यू)	कोई समाधान उपलब्ध नहीं है, या सुझाए गए समाधान को प्रारम्भ करना असंभव है। जब भेद्यता की पहचान की जाती है तो यह उपचारात्मक स्तर की सामान्य प्रारंभिक स्थिति होती है।	1.0
परिभाषित नहीं (एनडी)	यह इस स्कोर को अनदेखा करने का संकेत है।	1.0

रिपोर्ट विश्वास

भेद्यता की रिपोर्ट विश्वास (आरसी) भेद्यता के अस्तित्व में विश्वास के स्तर को मापता है और भेद्यता के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

मूल्य	विवरण	अंक
अपुष्ट (यूसी)	अपुष्ट स्रोत, या ाधिक परस्पर विरोधी स्रोत। अफवाह भेद्यता।	0.9
असंपुष्ट (यूआर)	कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है	0.95
पुष्टि (सी)	प्रभावित उत्पाद के विक्रेता या निर्माता द्वारा स्वीकार और पुष्टि की गई।	1.0
परिभाषित नहीं (एनडी)	यह इस स्कोर को अनदेखा करने का संकेत है।	1.0

गणना

इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पहले से ही संबंधित वेक्टर के साथ भेद्यता के लिए अस्थायी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:

${\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})$

उदाहरण

ऊपर दिए गए उदाहरण के साथ जारी रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:

Metric	महत्व	विवरण
शोषण	अवधारणा का सबूत	बुनियादी शोषण की कार्यक्षमता दिखाने के लिए प्रूफ-ऑफ अवधारणा, गैर-स्वचालित कोड प्रदान किया जाता है।
उपचारात्मक स्तर	अनुपलब्ध	विक्रेता को अभी तक शमन प्रदान करने या ठीक करने का अवसर नहीं मिला है।
विश्वास की रिपोर्ट करें	अपुष्ट	भेद्यता की ही रिपोर्ट की गई है

यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक न्यून कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से न्यून नहीं हो सकता है, और यदि भेद्यता के लिए स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।

पर्यावरण मेट्रिक्स

पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग न्यूनजोर उत्पाद या सॉफ़्टवेयर को तैनात करने के तरीके के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।

संपार्श्विक क्षति संभावित

संपार्श्विक क्षति क्षमता (सीडीपी) मीट्रिक भौतिक संपत्ति जैसे उपकरण (और जीवन) पर संभावित नुकसान या प्रभाव को मापता है, या यदि भेद्यता का शोषण किया जाता है तो प्रभावित संगठन पर वित्तीय प्रभाव पड़ता है।

महत्व	विवरण	अंक
कोई नहीं (एन)	संपत्ति, राजस्व या उत्पादकता के नुकसान की कोई संभावना नहीं है	0
न्यून (एल)	संपत्ति को थोड़ा नुकसान, या राजस्व या उत्पादकता का मामूली नुकसान	0.1
निम्न-मध्यम (एलएम)	मध्यम क्षति या हानि	0.3
मध्यम-उच्च (एमएच)	महत्वपूर्ण क्षति या हानि	0.4
उच्च (एच)	विपत्तिपूर्ण क्षति या हानि	0.5
परिभाषित नहीं (एनडी)	यह इस स्कोर को अनदेखा करने का संकेत है।	0

लक्ष्य वितरण

लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में न्यूनजोर प्रणालियों के अनुपात को मापता है।

महत्व	विवरण	अंक
कोई नहीं (एन)	कोई लक्ष्य प्रणाली उपस्थित नहीं है, वे एन्यूनात्र प्रयोगशाला सेटिंग में उपस्थित हैं	0
न्यून (एल)	1-25% सिस्टम जोखिम में हैं	0.25
मध्यम (एम)	26–75% सिस्टम जोखिम में हैं	0.75
उच्च (एच)	76-100% सिस्टम जोखिम में हैं	1.0
परिभाषित नहीं (एनडी)	यह इस स्कोर को अनदेखा करने का संकेत है।	1.0

इम्पैक्ट सब्सकोर संशोधक

तीन और मेट्रिक्स गोपनीयता (सीआर), अखंडता (आईआर) और उपलब्धता (एआर) के लिए विशिष्ट सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को उपयोगकर्ताओं के पर्यावरण के अनुसार ठीक-ठाक किया जा सकता है।

महत्व	विवरण	अंक
न्यून (एल)	(गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन परएन्यूनात्र सीमित प्रभाव पड़ने की संभावना है।	0.5
मध्यम (एम)	(गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर गंभीर प्रभाव पड़ने की संभावना है।	1.0
उच्च (एच)	(गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर विपत्तिपूर्ण प्रभाव पड़ने की संभावना है।	1.51
परिभाषित नहीं (एनडी)	यह इस स्कोर को अनदेखा करने का संकेत है।	1.0

गणना

पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पहले से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।

${\textsf {AdjustedImpact}}=\min(10,10.41\times (1-(1-{\textsf {ConfImpact}}\times {\textsf {ConfReq}})\times (1-{\textsf {IntegImpact}}\times {\textsf {IntegReq}})\times (1-{\textsf {AvailImpact}}\times {\textsf {AvailReq}})))$

${\textsf {AdjustedTemporal}}={\textsf {TemporalScore}}{\text{ recomputed with the }}{\textsf {BaseScore}}{\text{s }}{\textsf {Impact}}{\text{ sub-equation replaced with the }}{\textsf {AdjustedImpact}}{\text{ equation}}$

${\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})$

उदाहरण

यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

मीट्रिक	महत्व	विवरण
संपार्श्विक क्षति संभावित	मध्यम ऊँचाई	यह मान इस बात पर निर्भर करेगा कि यदि न्यूनजोर प्रणाली का शोषण किया जाता है तो हमलावर किस सूचना तक पहुँच प्राप्त कर सकता है। इस मामले में मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
लक्ष्य वितरण	उच्च	बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
गोपनीयता की आवश्यकता	उच्च	ग्राहक उम्मीद करते हैं कि उनकी बैंकिंग जानकारी गोपनीय होगी।
अखंडता की आवश्यकता	उच्च	प्राधिकरण के बिना वित्तीय और व्यक्तिगत जानकारी बदलने योग्य नहीं होनी चाहिए।
उपलब्धता की आवश्यकता	न्यून	ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से ग्राहकों को असुविधा हो सकती है, लेकिन विनाशकारी नहीं।

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में महत्वपूर्ण भेद्यता है।

===संस्करण 2=== की आलोचना कई विक्रेताओं और संगठनों ने CVSSv2 के प्रति असंतोष व्यक्त किया।

जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की न्यूनियों और विफलताओं के बारे में FIRST को सार्वजनिक पत्र प्रकाशित किया।^[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की न्यूनी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की न्यूनजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य पेश किया।^[10]

संस्करण 3

इनमें से कुछ आलोचनाओं को दूर करने के लिए, CVSS संस्करण 3 का विकास 2012 में शुरू किया गया था। अंतिम विनिर्देश को CVSS v3.0 नाम दिया गया था और जून 2015 में जारी किया गया था। विशिष्टता दस्तावेज़ के अलावा, उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी जारी किए गए थे।^[11]

कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), न्यून (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग^[12] को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे .^[13]

संस्करण 2 से परिवर्तन

बेस मेट्रिक्स

बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को न्यूनजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के ्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन न्यूनजोरियों का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को CVSSv2 के आंशिक, पूर्ण के बजाय कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि ्सेस विशेषाधिकारों को अलग मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर हमलावर को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो अलग मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन न्यूनजोरियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स === टेम्पोरल मेट्रिक्स CVSSv2 से अनिवार्य रूप से अपरिवर्तित थे।

पर्यावरण मेट्रिक्स

CVSSv2 के पर्यावरणीय मेट्रिक्स को पूरी तरह से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।

संस्करण 3 की आलोचना

सितंबर 2015 में ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में न्यूनजोरियों को स्कोर करने में किया जाता है।^[14]

संस्करण 3.1

CVSS के लिए मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना उपस्थिता CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।

FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही न्यूनजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।

सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। CVSS के विस्तार की नई मानक विधि, जिसे CVSS ्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

दत्तक ग्रहण

सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा न्यूनजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:

राष्ट्रीय भेद्यता डेटाबेस | राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)^[15]
ओपन सोर्स भेद्यता डेटाबेस | ओपन सोर्स भेद्यता डेटाबेस (OSVDB)^[16]
सीईआरटी समन्वय केंद्र,^[17] जो विशेष रूप से CVSSv2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है

यह भी देखें

सामान्य न्यूनजोरी गणना (सीडब्ल्यूई)
सामान्य भेद्यताएं और जोखिम (सीवीई)
आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)

संदर्भ

↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
↑ ^2.0 ^2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
↑ "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
↑ "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18. MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
↑ "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
↑ "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
↑ "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
↑ {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
↑ "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
↑ "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
↑ "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
↑ "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
↑ "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
↑ "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
↑ "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
↑ "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.

बाहरी संबंध

[cvss3.1-1] "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.

[:0-2] 2.0 ^2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.

[cvssv1-3] "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.

[4] "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18. MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.

[cvssv2-5] "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.

[cvss3-6] "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.

[cvss3.0-7] "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.

[cvssv2_specs-8] "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.

[rbs_failures_cvssv2-9] {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}

[oracle_partialplus-10] "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.

[cvssv3.0_specs-11] "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.

[cvss3.0_severities-12] "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.

[nist_ranges-13] "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.

[cert_cvss_iot-14] "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.

[nvdb_main-15] "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.

[osvdb_main-16] "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.

[cert_uses_cvss-17] "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

@@ Line 1: / Line 1: @@
-{{Short description|Standard for assessing computer system vulnerabilities}}सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) [[कंप्यूटर सुरक्षा]] [[भेद्यता (कंप्यूटिंग)]] की गंभीरता का आकलन करने के लिए  स्वतंत्र और [[खुला मानक]] [[तकनीकी मानक]] है। सीवीएसएस कमजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना  सूत्र के आधार पर की जाती है जो कई [[सॉफ्टवेयर मीट्रिक]] पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और  संगठन के भीतर व्यापक रूप से कमजोर प्रणाली क्रमशः मौजूद हैं।
+{{Short description|Standard for assessing computer system vulnerabilities}}सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) [[कंप्यूटर सुरक्षा]] [[भेद्यता (कंप्यूटिंग)]] की गंभीरता का आकलन करने के लिए  स्वतंत्र और [[खुला मानक]] [[तकनीकी मानक]] है। सीवीएसएस न्यूनजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना  सूत्र के आधार पर की जाती है जो कई [[सॉफ्टवेयर मीट्रिक]] पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिएएन्यूनात्र सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और  संगठन के भीतर व्यापक रूप से न्यूनजोर प्रणाली क्रमशः उपस्थित हैं।
 CVSS (CVSSv3.1) का वर्तमान संस्करण जून 2019 में जारी किया गया था।<ref name="cvss3.1">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>
@@ Line 21: / Line 21: @@
 भेद्यता के आंतरिक गुणों के लिए #बेस मेट्रिक्स
 #टेम्पोरल मेट्रिक्स उन विशेषताओं के लिए जो भेद्यता के जीवनकाल में विकसित होती हैं
-कमजोरियों के लिए #पर्यावरण मेट्रिक्स जो  विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं
+न्यूनजोरियों के लिए #पर्यावरण मेट्रिक्स जो  विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं
-इन मीट्रिक समूहों में से प्रत्येक के लिए  संख्यात्मक अंक उत्पन्न होता है।  वेक्टर स्ट्रिंग (या CVSSv2 में केवल वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
+इन मीट्रिक समूहों में से प्रत्येक के लिए  संख्यात्मक अंक उत्पन्न होता है।  वेक्टर स्ट्रिंग (या CVSSv2 मेंएन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
 == संस्करण 2 ==
@@ Line 37: / Line 37: @@
 ! महत्व !! विवरण !! अंक
 |-
-| स्थानीय (एल)|| हमलावर के निकट या तो कमजोर प्रणाली (जैसे फायरवायर हमले) या एक स्थानीय खाते (जैसे एक विशेषाधिकार वृद्धि हमला) तक भौतिक पहुंच होनी चाहिए।||0.395
+| स्थानीय (एल)|| हमलावर के निकट या तो न्यूनजोर प्रणाली (जैसे फायरवायर हमले) या  स्थानीय खाते (जैसे  विशेषाधिकार वृद्धि हमला) तक भौतिक पहुंच होनी चाहिए।||0.395
 |-
-| आसन्न नेटवर्क (ए)|| हमलावर के निकट कमजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ हमले)।||0.646
+| आसन्न नेटवर्क (ए)|| हमलावर के निकट न्यूनजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ हमले)।||0.646
 |-
-| नेटवर्क (एन)||असुरक्षित इंटरफ़ेस OSI नेटवर्क स्टैक की परत 3 या उससे ऊपर पर काम कर रहा है। इस प्रकार की कमजोरियों को अक्सर दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में एक दूरस्थ बफर अतिप्रवाह)
+| नेटवर्क (एन)||असुरक्षित इंटरफ़ेस OSI नेटवर्क स्टैक की परत 3 या उससे ऊपर पर काम कर रहा है। इस प्रकार की न्यूनजोरियों को अक्सर दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में  दूरस्थ बफर अतिप्रवाह)
 |1.0
 |}
@@ Line 48: / Line 48: @@
 ==== पहुंच जटिलता ====
-पहुंच जटिलता (एसी) मीट्रिक बताती है कि खोजी गई भेद्यता का फायदा उठाना कितना आसान या कठिन है।
+पहुंच जटिलता (एसी) मीट्रिक बताती है कि खोजी गई भेद्यता का लाभ उठाना कितना आसान या कठिन है।
 {| class="wikitable"
 |-
 ! महत्व !! विवरण !! अंक
 |-
-| उच्च (एच)|| विशिष्ट स्थितियाँ मौजूद हैं, जैसे एक संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।||0.35
+| उच्च (एच)|| विशिष्ट स्थितियाँ उपस्थित हैं, जैसे  संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।||0.35
 |-
-| मध्यम (एम)||हमले के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे हमले की उत्पत्ति पर एक सीमा, या एक असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ कमजोर प्रणाली के चलने की आवश्यकता।
+| मध्यम (एम)||हमले के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे हमले की उत्पत्ति पर  सीमा, या  असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ न्यूनजोर प्रणाली के चलने की आवश्यकता।
 |0.61
 |-
-| कम (एल)|| भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो।||0.71
+| न्यून (एल)|| भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो।||0.71
 |}
@@ Line 64: / Line 64: @@
 ====प्रमाणीकरण====
-ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब  हमलावर को लक्ष्य का फायदा उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक कमजोरियों के लिए, यह मान केवल ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
+ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब  हमलावर को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक न्यूनजोरियों के लिए, यह मानएन्यूनात्र ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
 {| class="wikitable"
 |-
 ! महत्व !! विवरण !! अंक
 |-
-| एकाधिक (एम)|| भेद्यता के शोषण के लिए आवश्यक है कि हमलावर दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए।||0.45
+| ाधिक (एम)|| भेद्यता के शोषण के लिए आवश्यक है कि हमलावर दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए।||0.45
 |-
-| एकल (एस) || भेद्यता का फायदा उठाने के लिए हमलावर को एक बार प्रमाणित करना होगा।||0.56
+| ल (एस) || भेद्यता का लाभ उठाने के लिए हमलावर को  बार प्रमाणित करना होगा।||0.56
 |-
 | कोई नहीं (एन)|| हमलावर को प्रमाणित करने की कोई आवश्यकता नहीं है।||0.704
@@ Line 85: / Line 85: @@
 ! महत्व !! विवरण !! अंक
 |-
-| None (N) || There is no impact on the confidentiality of the system.||0.0
+| कोई नहीं (एन) || सिस्टम की गोपनीयता पर कोई प्रभाव नहीं पड़ता है।||0.0
 |-
-| Partial (P) || There is considerable disclosure of information, but the scope of the loss is constrained such that not all of the data is available.||0.275
+| आंशिक (पी) || जानकारी का काफी खुलासा हुआ है, लेकिन नुकसान का दायरा इस तरह सीमित है कि सभी डेटा उपलब्ध नहीं हैं।||0.275
 |-
-| Complete (C) || There is total information disclosure, providing access to any / all data on the system. Alternatively, access to only some restricted information is obtained, but the disclosed information presents a direct, serious impact.||0.660
+| पूर्ण (सी) || सिस्टम पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से,एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है।||0.660
 |}
@@ Line 99: / Line 99: @@
 ! महत्व !! विवरण !! अंक
 |-
-| None (N) || There is no impact on the integrity of the system.||0.0
+| कोई नहीं (एन) || सिस्टम की अखंडता पर कोई प्रभाव नहीं पड़ता है।||0.0
 |-
-| Partial (P) || Modification of some data or system files is possible, but the scope of the modification is limited.||0.275
+| आंशिक (पी) || कुछ डेटा या सिस्टम फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का दायरा सीमित है।||0.275
 |-
-| Complete (C) || There is total loss of integrity; the attacker can modify any files or information on the target system.||0.660
+| पूर्ण (सी) || अखंडता का कुल नुकसान होता है; हमलावर लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है।||0.660
 |}
@@ Line 113: / Line 113: @@
 ! महत्व !! विवरण !! अंक
 |-
-| None (N) || There is no impact on the availability of the system.||0.0
+| कोई नहीं (एन) || सिस्टम की उपलब्धता पर कोई प्रभाव नहीं पड़ता है।||0.0
 |-
-| Partial (P) || There is reduced performance or loss of some functionality.||0.275
+| आंशिक (पी) || प्रदर्शन न्यून हो गया है या कुछ कार्यक्षमता का नुकसान हुआ है।||0.275
 |-
-| Complete (C) || There is total loss of availability of the attacked resource.||0.660
+| पूर्ण (सी) || हमला किए गए संसाधन की उपलब्धता का कुल नुकसान हुआ है।||0.660
 |}
@@ Line 152: / Line 152: @@
 ! Metric !! महत्व !! विवरण
 |-
-| Access Vector || Network || The vulnerability may be accessed from any network that can access the target system - typically the whole of the internet
+| ्सेस वेक्टर || नेटवर्क || भेद्यता को किसी भी नेटवर्क से ्सेस किया जा सकता है जो लक्ष्य प्रणाली तक पहुंच सकता है - सामान्यतः संपूर्ण इंटरनेट
 |-
-| Access Complexity || Low || There are no special requirements for access
+| ्सेस जटिलता || न्यून || पहुँच के लिए कोई विशेष आवश्यकताएँ नहीं हैं
 |-
-| Authentication || None || There is no requirement for authentication in order to exploit the vulnerability
+| प्रमाणीकरण || कोई नहीं || भेद्यता का लाभ उठाने के लिए प्रमाणीकरण की कोई आवश्यकता नहीं है
 |-
-| Confidentiality || Partial || The attacker can read some files and data on the system
+| गोपनीयता || आंशिक || हमलावर सिस्टम पर उपस्थित कुछ फाइलों और डेटा को पढ़ सकता है
 |-
-| Integrity || Partial || The attacker can alter some files and data on the system
+| अखंडता || आंशिक || हमलावर सिस्टम पर कुछ फाइलों और डेटा को बदल सकता है
 |-
-| Availability || Complete || The attacker can cause the system and web service to become unavailable / unresponsive by shutting the system down
+| उपलब्धता || पूर्ण || हमलावर सिस्टम को बंद करके सिस्टम और वेब सेवा को अनुपलब्ध / अनुत्तरदायी बना सकता है
 |}
 यह 9.0 का समग्र आधार स्कोर देते हुए 10 का  शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा।
@@ Line 177: / Line 177: @@
 ! महत्व !! विवरण !! अंक
 |-
-| Unproven (U) || No exploit code is available, or the exploit is theoretical || 0.85
+| अप्रमाणित (यू) || कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है || 0.85
 |-
-| Proof-of-concept (P) || Proof-of-concept exploit code or demonstration attacks are available, but not practical for widespread use. Not functional against all instances of the vulnerability. || 0.9
+| सबूत की अवधारणा (पी) || प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन हमले उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। || 0.9
 |-
-| Functional (F) || Functional exploit code is available, and works in most situations where the vulnerability is present. || 0.95
+| कार्यात्मक (एफ) || कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में काम करता है जहां भेद्यता उपस्थित है। || 0.95
 |-
-| High (H) || The vulnerability can be exploited by automated code, including mobile code (such as a worm or virus). || 1.0
+| उच्च (एच) || मोबाइल कोड (जैसे कीड़ा या वायरस) सहित स्वचालित कोड द्वारा भेद्यता का लाभ उठाया जा सकता है। || 1.0
 |-
-| Not Defined (ND) || This is a signal to ignore this score. || 1.0
+| परिभाषित नहीं (एनडी) || यह इस स्कोर को अनदेखा करने का संकेत है। || 1.0
 |}
 ==== उपचारात्मक स्तर ====
-भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को कम करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।
+भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को न्यून करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।
 {| class="wikitable"
 |-
 ! महत्व !! विवरण !! अंक
 |-
-| Official Fix (O) || A complete vendor solution is available - either a patch or an upgrade. || 0.87
+| आधिकारिक फिक्स (ओ) || पूर्ण विक्रेता समाधान उपलब्ध है - या तो पैच या अपग्रेड। || 0.87
 |-
-| Temporary Fix (T) || There is an official but temporary fix / mitigation available from the vendor. || 0.90
+| अस्थायी सुधार (टी) || विक्रेता से आधिकारिक लेकिन अस्थायी सुधार/शमन उपलब्ध है। || 0.90
 |-
-| Workaround (W) || There is an unofficial, non-vendor solution or mitigation available - perhaps developed or suggested by users of the affected product or another third party. || 0.95
+| समाधान (डब्ल्यू) || अनौपचारिक, गैर-विक्रेता समाधान या शमन उपलब्ध है - शायद प्रभावित उत्पाद या किसी अन्य तृतीय पक्ष के उपयोगकर्ताओं द्वारा विकसित या सुझाया गया हो। || 0.95
 |-
-| Unavailable (U) || There is no solution available, or it is impossible to apply a suggested solution. This is the usual initial state of the remediation level when a vulnerability is identified. || 1.0
+| अनुपलब्ध (यू) || कोई समाधान उपलब्ध नहीं है, या सुझाए गए समाधान को प्रारम्भ करना असंभव है। जब भेद्यता की पहचान की जाती है तो यह उपचारात्मक स्तर की सामान्य प्रारंभिक स्थिति होती है। || 1.0
 |-
-| Not Defined (ND) || This is a signal to ignore this score. || 1.0
+| परिभाषित नहीं (एनडी) || यह इस स्कोर को अनदेखा करने का संकेत है। || 1.0
 |}
@@ Line 213: / Line 213: @@
 ! मूल्य !! विवरण !! अंक
 |-
-| अपुष्ट (यूसी) || अपुष्ट स्रोत, या एकाधिक परस्पर विरोधी स्रोत। अफवाह भेद्यता। || 0.9
+| अपुष्ट (यूसी) || अपुष्ट स्रोत, या ाधिक परस्पर विरोधी स्रोत। अफवाह भेद्यता। || 0.9
 |-
 | असंपुष्ट (यूआर) || कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है || 0.95
@@ Line 239: / Line 239: @@
 ! Metric !! महत्व !! विवरण
 |-
-| Exploitability || Proof-of-concept || Proof-of concept, non-automated code is provided to show basic exploit functionality.
+| शोषण || अवधारणा का सबूत || बुनियादी शोषण की कार्यक्षमता दिखाने के लिए प्रूफ-ऑफ अवधारणा, गैर-स्वचालित कोड प्रदान किया जाता है।
 |-
-| Remediation Level || Unavailable || The vendor has not yet had the opportunity to provide a mitigation or fix.
+| उपचारात्मक स्तर || अनुपलब्ध ||विक्रेता को अभी तक शमन प्रदान करने या ठीक करने का अवसर नहीं मिला है।
 |-
-| Report Confidence || Unconfirmed || There has been a single report of the vulnerability
+| विश्वास की रिपोर्ट करें || अपुष्ट || भेद्यता की  ही रिपोर्ट की गई है
 |}
 यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का  पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).
@@ Line 249: / Line 249: @@
 यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।
-वेंडर की ओर से  अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक कम कर देगा, जबकि  आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर  निश्चित स्तर से कम नहीं हो सकता है, और यदि भेद्यता के लिए  स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।
+वेंडर की ओर से  अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक न्यून कर देगा, जबकि  आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर  निश्चित स्तर से न्यून नहीं हो सकता है, और यदि भेद्यता के लिए  स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।
 === पर्यावरण मेट्रिक्स ===
-पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग कमजोर उत्पाद या सॉफ़्टवेयर को तैनात करने के तरीके के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, आमतौर पर प्रभावित पक्षों द्वारा।
+पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग न्यूनजोर उत्पाद या सॉफ़्टवेयर को तैनात करने के तरीके के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।
 ==== संपार्श्विक क्षति संभावित ====
@@ Line 260: / Line 260: @@
 ! महत्व !! विवरण !! अंक
 |-
-| None (N) || No potential for loss of property, revenue or productivity || 0
+| कोई नहीं (एन) || संपत्ति, राजस्व या उत्पादकता के नुकसान की कोई संभावना नहीं है || 0
 |-
-| Low (L) || Slight damage to assets, or minor loss of revenue or productivity || 0.1
+| न्यून (एल) || संपत्ति को थोड़ा नुकसान, या राजस्व या उत्पादकता का मामूली नुकसान || 0.1
 |-
-| Low-Medium (LM) || Moderate damage or loss || 0.3
+| निम्न-मध्यम (एलएम) || मध्यम क्षति या हानि || 0.3
 |-
-| Medium-High (MH) || Significant damage or loss || 0.4
+| मध्यम-उच्च (एमएच) || महत्वपूर्ण क्षति या हानि || 0.4
 |-
-| High (H) || Catastrophic damage or loss || 0.5
+| उच्च (एच) || विपत्तिपूर्ण क्षति या हानि || 0.5
 |-
-| Not Defined (ND) || This is a signal to ignore this score. || 0
+| परिभाषित नहीं (एनडी) || यह इस स्कोर को अनदेखा करने का संकेत है। || 0
 |}
 ==== लक्ष्य वितरण ====
-लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में कमजोर प्रणालियों के अनुपात को मापता है।
+लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में न्यूनजोर प्रणालियों के अनुपात को मापता है।
 {| class="wikitable"
 |-
 ! महत्व !! विवरण !! अंक
 |-
-| None (N) || No target systems exist, or they only exist in laboratory settings || 0
+| कोई नहीं (एन) || कोई लक्ष्य प्रणाली उपस्थित नहीं है, वे एन्यूनात्र प्रयोगशाला सेटिंग में उपस्थित हैं || 0
 |-
-| Low (L) || 1–25% of systems at risk || 0.25
+| न्यून (एल) || 1-25% सिस्टम जोखिम में हैं || 0.25
 |-
-| Medium (M) || 26–75% of systems at risk || 0.75
+| मध्यम (एम) || 26–75% सिस्टम जोखिम में हैं || 0.75
 |-
-| High (H) || 76–100% of systems at risk || 1.0
+| उच्च (एच) || 76-100% सिस्टम जोखिम में हैं || 1.0
 |-
-| Not Defined (ND) || This is a signal to ignore this score. || 1.0
+| परिभाषित नहीं (एनडी) || यह इस स्कोर को अनदेखा करने का संकेत है। || 1.0
 |}
@@ Line 298: / Line 298: @@
 ! महत्व !! विवरण !! अंक
 |-
-| Low (L) || Loss of (confidentiality / integrity / availability) is likely to have only a limited effect on the organisation. || 0.5
+| न्यून (एल) || (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन परएन्यूनात्र  सीमित प्रभाव पड़ने की संभावना है। || 0.5
 |-
-| Medium (M) || Loss of (confidentiality / integrity / availability) is likely to have a serious effect on the organisation. || 1.0
+| मध्यम (एम) || (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर गंभीर प्रभाव पड़ने की संभावना है। || 1.0
 |-
-| High (H) || Loss of (confidentiality / integrity / availability) is likely to have a catastrophic effect on the organisation. || 1.51
+| उच्च (एच) || (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर विपत्तिपूर्ण प्रभाव पड़ने की संभावना है। || 1.51
 |-
-| Not Defined (ND) || This is a signal to ignore this score. || 1.0
+| परिभाषित नहीं (एनडी) || यह इस स्कोर को अनदेखा करने का संकेत है। || 1.0
 |}
@@ Line 329: / Line 329: @@
 {| class="wikitable"
 |-
-! Metric !! महत्व !! विवरण
+! मीट्रिक !! महत्व !! विवरण
 |-
-| Collateral Damage Potential || Medium-High || This value would depend on what information the attacker is able to access if a vulnerable system is exploited. In this case I am assuming that some personal banking information is available, therefore there is a significant reputational impact on the bank.
+| संपार्श्विक क्षति संभावित || मध्यम ऊँचाई || यह मान इस बात पर निर्भर करेगा कि यदि  न्यूनजोर प्रणाली का शोषण किया जाता है तो हमलावर किस सूचना तक पहुँच प्राप्त कर सकता है। इस मामले में मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
 |-
-| Target Distribution || High || All of the bank's web servers run the vulnerable software.
+| लक्ष्य वितरण || उच्च || बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
 |-
-| Confidentiality Requirement || High || Customers expect their banking information to be confidential.
+| गोपनीयता की आवश्यकता || उच्च || ग्राहक उम्मीद करते हैं कि उनकी बैंकिंग जानकारी गोपनीय होगी।
 |-
-| Integrity Requirement || High || Financial and personal information should not be changeable without authorization.
+| अखंडता की आवश्यकता || उच्च || प्राधिकरण के बिना वित्तीय और व्यक्तिगत जानकारी बदलने योग्य नहीं होनी चाहिए।
 |-
-| Availability Requirement || Low || Unavailability of online banking services is likely to be an inconvenience for customers, but not catastrophic.
+| उपलब्धता की आवश्यकता || न्यून || ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से ग्राहकों को असुविधा हो सकती है, लेकिन विनाशकारी नहीं।
 |}
 यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में  महत्वपूर्ण भेद्यता है।
@@ Line 346: / Line 346: @@
 कई विक्रेताओं और संगठनों ने CVSSv2 के प्रति असंतोष व्यक्त किया।
-जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की कमियों और विफलताओं के बारे में FIRST को  सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2">{{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की कमजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
+जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की न्यूनियों और विफलताओं के बारे में FIRST को  सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2">{{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की न्यूनी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की न्यूनजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
 आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य पेश किया।<ref name="oracle_partialplus">{{cite web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html |title=सीवीएसएस स्कोरिंग सिस्टम|publisher=Oracle |date=2010-06-01 |accessdate=2015-11-15}}</ref>
@@ Line 353: / Line 353: @@
 इनमें से कुछ आलोचनाओं को दूर करने के लिए, CVSS संस्करण 3 का विकास 2012 में शुरू किया गया था। अंतिम विनिर्देश को CVSS v3.0 नाम दिया गया था और जून 2015 में जारी किया गया था।  विशिष्टता दस्तावेज़ के अलावा,  उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी जारी किए गए थे।<ref name="cvssv3.0_specs">{{cite web|url=https://www.first.org/cvss/specification-document |title=CVSS v3,.0 विशिष्टता दस्तावेज़|publisher=FIRST, Inc. |date= |accessdate=2015-11-15}}</ref>
-कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की मौजूदा स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), कम (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग<ref name="cvss3.0_severities">{{cite web |url=https://www.first.org/cvss/specification-document#i5 |title=सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)|author=<!--Staff writer(s); no by-line.--> |publisher=First.org |accessdate=2016-01-10}}</ref> को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे
+कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), न्यून (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग<ref name="cvss3.0_severities">{{cite web |url=https://www.first.org/cvss/specification-document#i5 |title=सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)|author=<!--Staff writer(s); no by-line.--> |publisher=First.org |accessdate=2016-01-10}}</ref> को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे
 .<ref name="nist_ranges">{{cite web |url=http://nvd.nist.gov/cvss.cfm |title=NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2|author=<!--Staff writer(s); no by-line.--> |work=National Vulnerability Database |publisher=National Institute of Standards and Technology |accessdate=March 2, 2013}}</ref>
@@ Line 359: / Line 359: @@
 ==== बेस मेट्रिक्स ====
-बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को कमजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का फायदा उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के ्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन कमजोरियों का फायदा उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
+बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को न्यूनजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के ्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन न्यूनजोरियों का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
-गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को CVSSv2 के आंशिक, पूर्ण के बजाय कोई नहीं, कम, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
+गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को CVSSv2 के आंशिक, पूर्ण के बजाय कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
 ्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि ्सेस विशेषाधिकारों को  अलग मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर हमलावर को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो  अलग मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।
-अटैक वेक्टर (एवी) ने उन कमजोरियों का वर्णन करने के लिए भौतिक (पी) के  नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।
+अटैक वेक्टर (एवी) ने उन न्यूनजोरियों का वर्णन करने के लिए भौतिक (पी) के  नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।
 टेम्पोरल मेट्रिक्स ===
@@ Line 374: / Line 374: @@
 ===संस्करण 3 की आलोचना===
-सितंबर 2015 में  ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में कमजोरियों को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>
+सितंबर 2015 में  ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में न्यूनजोरियों को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>
 == संस्करण 3.1 ==
-CVSS के लिए  मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना मौजूदा CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता  प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।
+CVSS के लिए  मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना उपस्थिता CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता  प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।
-FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही कमजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक लागू होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए  नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के  बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।
+FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही न्यूनजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए  नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के  बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।
-सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और मौजूदा बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। CVSS के विस्तार की  नई मानक विधि, जिसे CVSS ्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।
+सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। CVSS के विस्तार की  नई मानक विधि, जिसे CVSS ्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।
 == दत्तक ग्रहण ==
-सीवीएसएस के संस्करणों को संगठनों और कंपनियों की  विस्तृत श्रृंखला द्वारा कमजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:
+सीवीएसएस के संस्करणों को संगठनों और कंपनियों की  विस्तृत श्रृंखला द्वारा न्यूनजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:
 * [[राष्ट्रीय भेद्यता डेटाबेस]] | राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)<ref name="nvdb_main">{{cite web|url=http://nvd.nist.gov/home.cfm |title=राष्ट्रीय भेद्यता डेटाबेस होम|publisher=Nvd.nist.gov |date= |accessdate=2013-04-16}}</ref>
 * [[ओपन सोर्स भेद्यता डेटाबेस]] | ओपन सोर्स भेद्यता डेटाबेस (OSVDB)<ref name="osvdb_main">{{cite web|url=http://www.osvdb.org/ |title=ओपन सोर्स भेद्यता डेटाबेस|publisher=OSVDB |date= |accessdate=2013-04-16}}</ref>
@@ Line 390: / Line 390: @@
 == यह भी देखें ==
-*सामान्य कमजोरी गणना (सीडब्ल्यूई)
+*सामान्य न्यूनजोरी गणना (सीडब्ल्यूई)
 *सामान्य भेद्यताएं और जोखिम (सीवीई)
 *आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)

Anonymous

Search

कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम: Difference between revisions

Revision as of 13:42, 13 May 2023

इतिहास

शब्दावली

संस्करण 2

बेस मेट्रिक्स

्सेस वेक्टर

पहुंच जटिलता

प्रमाणीकरण

प्रभाव मेट्रिक्स

गोपनीयता

ईमानदारी

उपलब्धता

गणना

उदाहरण

टेम्पोरल मेट्रिक्स

शोषणशीलता

उपचारात्मक स्तर

रिपोर्ट विश्वास

गणना

उदाहरण

पर्यावरण मेट्रिक्स

संपार्श्विक क्षति संभावित

लक्ष्य वितरण

इम्पैक्ट सब्सकोर संशोधक

गणना

उदाहरण

संस्करण 3

संस्करण 2 से परिवर्तन

बेस मेट्रिक्स

पर्यावरण मेट्रिक्स

संस्करण 3 की आलोचना

संस्करण 3.1

दत्तक ग्रहण

यह भी देखें

संदर्भ

बाहरी संबंध

Navigation

Wiki tools

Page tools

Other projects

Categories