कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
Line 6: Line 6:


== इतिहास ==
== इतिहास ==
2003/2004 में [[राष्ट्रीय अवसंरचना सलाहकार परिषद]] (NIAC) द्वारा किए गए शोध ने फरवरी 2005 में CVSS वर्जन 1 (CVSSv1) को लॉन्च किया।<ref name=":0">{{Cite journal |last1=Johnson |first1=Pontus |last2=Lagerstrom |first2=Robert |last3=Ekstedt |first3=Mathias |last4=Franke |first4=Ulrik |date=2018-11-01 |title=Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis |url=https://ieeexplore.ieee.org/document/7797152 |journal=IEEE Transactions on Dependable and Secure Computing |volume=15 |issue=6 |pages=1002–1015 |doi=10.1109/TDSC.2016.2644614 |s2cid=53287880 |issn=1545-5971}}</ref> सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, NIAC ने भविष्य के विकास के लिए CVSS का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम (Forum_of_Incident_Response_and_Security_Teams) का चयन किया।<ref name="cvssv1">{{cite web |url=https://www.first.org/cvss/v1 |title=सीवीएसएस v1 आर्काइव|author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref><ref>{{cite web
2003/2004 में [[राष्ट्रीय अवसंरचना सलाहकार परिषद]] (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।<ref name=":0">{{Cite journal |last1=Johnson |first1=Pontus |last2=Lagerstrom |first2=Robert |last3=Ekstedt |first3=Mathias |last4=Franke |first4=Ulrik |date=2018-11-01 |title=Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis |url=https://ieeexplore.ieee.org/document/7797152 |journal=IEEE Transactions on Dependable and Secure Computing |volume=15 |issue=6 |pages=1002–1015 |doi=10.1109/TDSC.2016.2644614 |s2cid=53287880 |issn=1545-5971}}</ref> सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।<ref name="cvssv1">{{cite web |url=https://www.first.org/cvss/v1 |title=सीवीएसएस v1 आर्काइव|author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref><ref>{{cite web
|title=NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC
|title=NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC
|url=https://www.cisa.gov/sites/default/files/publications/niac-qbm-minutes-04-12-05-508.pdf
|url=https://www.cisa.gov/sites/default/files/publications/niac-qbm-minutes-04-12-05-508.pdf
Line 13: Line 13:
|date=2005-04-12
|date=2005-04-12
|accessdate=2022-07-18}}</ref>
|accessdate=2022-07-18}}</ref>
उत्पादन में CVSSv1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि CVSS के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर काम अप्रैल 2005 में शुरू हुआ और अंतिम विनिर्देश जून 2007 में शुरू किया गया।<ref name="cvssv2">{{cite web |url=https://www.first.org/cvss/v2/history |title=CVSS v2 History |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref>
 
आगे की प्रतिक्रिया के परिणामस्वरूप CVSS संस्करण 3 पर काम शुरू हुआ<ref name="cvss3">{{cite web |url=http://www.first.org/cvss/v3/development |title=Announcing the CVSS Special Interest Group for CVSS v3 Development |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=March 2, 2013 |archive-url=https://web.archive.org/web/20130217111355/http://www.first.org/cvss/v3/development |archive-date=February 17, 2013 |url-status=dead }}</ref> 2012 में, जून 2015 में जारी CVSSv3.0 के साथ समाप्त।<ref name=":0" /><ref name="cvss3.0">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>
उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।<ref name="cvssv2">{{cite web |url=https://www.first.org/cvss/v2/history |title=CVSS v2 History |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref>
 
आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस संस्करण 3 पर कार्य प्रारंभ हुआ<ref name="cvss3">{{cite web |url=http://www.first.org/cvss/v3/development |title=Announcing the CVSS Special Interest Group for CVSS v3 Development |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=March 2, 2013 |archive-url=https://web.archive.org/web/20130217111355/http://www.first.org/cvss/v3/development |archive-date=February 17, 2013 |url-status=dead }}</ref> 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।<ref name=":0" /><ref name="cvss3.0">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>
 




== शब्दावली ==
== शब्दावली ==
सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:
सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:
भेद्यता के आंतरिक गुणों के लिए #बेस मेट्रिक्स
#टेम्पोरल मेट्रिक्स उन विशेषताओं के लिए जो भेद्यता के जीवनकाल में विकसित होती हैं
न्यूनजोरियों के लिए #पर्यावरण मेट्रिक्स जो  विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं


इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या CVSSv2 मेंएन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
1. भेद्यता के आंतरिक गुणों के लिए बेस मेट्रिक्स
 
2. भेद्यता के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स
 
3. कमजोरियों के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।
 
इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।


== संस्करण 2 ==
== संस्करण 2 ==
CVSSv2 के लिए संपूर्ण दस्तावेज़ीकरण FIRST से उपलब्ध है।<ref name="cvssv2_specs">{{cite web|url=https://www.first.org/cvss/v2/guide |title=सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण|publisher=First.org, Inc. |date= |accessdate=2015-11-15}}</ref> नीचे सारांश दिया गया है।
सीवीएसएसv2 के लिए संपूर्ण दस्तावेज़ीकरण फर्स्ट से उपलब्ध है।<ref name="cvssv2_specs">{{cite web|url=https://www.first.org/cvss/v2/guide |title=सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण|publisher=First.org, Inc. |date= |accessdate=2015-11-15}}</ref> नीचे सारांश दिया गया है।


=== बेस मेट्रिक्स ===
=== बेस मेट्रिक्स ===


==== ्सेस वेक्टर ====
==== एक्सेस वेक्टर ====


्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।
एक्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! महत्व !! विवरण !! अंक
|-
|-
| स्थानीय (एल)|| हमलावर के निकट या तो न्यूनजोर प्रणाली (जैसे फायरवायर हमले) या  स्थानीय खाते (जैसे  विशेषाधिकार वृद्धि हमला) तक भौतिक पहुंच होनी चाहिए।||0.395
| स्थानीय (एल)|| आक्रमणकारी के निकट या तो न्यूनजोर प्रणाली (जैसे फायरवायर आघात) या  स्थानीय खाते (जैसे  विशेषाधिकार वृद्धि आघात) तक भौतिक पहुंच होनी चाहिए।||0.395
|-
|-
| आसन्न नेटवर्क (ए)|| हमलावर के निकट न्यूनजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ हमले)।||0.646
| आसन्न नेटवर्क (ए)|| आक्रमणकारी के निकट न्यूनजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ आघात)।||0.646
|-
|-
| नेटवर्क (एन)||असुरक्षित इंटरफ़ेस OSI नेटवर्क स्टैक की परत 3 या उससे ऊपर पर काम कर रहा है। इस प्रकार की न्यूनजोरियों को अक्सर दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में  दूरस्थ बफर अतिप्रवाह)
| नेटवर्क (एन)||असुरक्षित इंटरफ़ेस ओएसआई नेटवर्क स्टैक की परत 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की कमजोरियों को अधिकांशतः दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में  दूरस्थ बफर अतिप्रवाह)
|1.0
|1.0
|}
|}
Line 48: Line 54:
==== पहुंच जटिलता ====
==== पहुंच जटिलता ====


पहुंच जटिलता (एसी) मीट्रिक बताती है कि खोजी गई भेद्यता का लाभ उठाना कितना आसान या कठिन है।
पहुंच जटिलता (एसी) मीट्रिक बताती है कि अनुसंधान गई भेद्यता का लाभ उठाना कितना आसान या कठिन है।
{| class="wikitable"
{| class="wikitable"
|-
|-
Line 55: Line 61:
| उच्च (एच)|| विशिष्ट स्थितियाँ उपस्थित हैं, जैसे  संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।||0.35
| उच्च (एच)|| विशिष्ट स्थितियाँ उपस्थित हैं, जैसे  संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।||0.35
|-
|-
| मध्यम (एम)||हमले के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे हमले की उत्पत्ति पर  सीमा, या  असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ न्यूनजोर प्रणाली के चलने की आवश्यकता।
| मध्यम (एम)||आघात के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे आघात की उत्पत्ति पर  सीमा, या  असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ न्यूनजोर प्रणाली के चलने की आवश्यकता।
|0.61
|0.61
|-
|-
Line 64: Line 70:
====प्रमाणीकरण====
====प्रमाणीकरण====


ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब  हमलावर को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक न्यूनजोरियों के लिए, यह मानएन्यूनात्र ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब  आक्रमणकारी को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक कमजोरियों के लिए, यह मानएन्यूनात्र ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! महत्व !! विवरण !! अंक
|-
|-
| ाधिक (एम)|| भेद्यता के शोषण के लिए आवश्यक है कि हमलावर दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए।||0.45
| ाधिक (एम)|| भेद्यता के शोषण के लिए आवश्यक है कि आक्रमणकारी दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए।||0.45
|-
|-
| ल (एस) || भेद्यता का लाभ उठाने के लिए हमलावर को बार प्रमाणित करना होगा।||0.56
| ल (एस) || भेद्यता का लाभ उठाने के लिए आक्रमणकारी को बार प्रमाणित करना होगा।||0.56
|-
|-
| कोई नहीं (एन)|| हमलावर को प्रमाणित करने की कोई आवश्यकता नहीं है।||0.704
| कोई नहीं (एन)|| आक्रमणकारी को प्रमाणित करने की कोई आवश्यकता नहीं है।||0.704
|}
|}


Line 87: Line 93:
| कोई नहीं (एन) || सिस्टम की गोपनीयता पर कोई प्रभाव नहीं पड़ता है।||0.0
| कोई नहीं (एन) || सिस्टम की गोपनीयता पर कोई प्रभाव नहीं पड़ता है।||0.0
|-
|-
| आंशिक (पी) || जानकारी का काफी खुलासा हुआ है, लेकिन नुकसान का दायरा इस तरह सीमित है कि सभी डेटा उपलब्ध नहीं हैं।||0.275
| आंशिक (पी) || जानकारी का काफी खुलासा हुआ है, लेकिन नुकसान का दायरा इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं।||0.275
|-
|-
| पूर्ण (सी) || सिस्टम पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से,एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है।||0.660
| पूर्ण (सी) || सिस्टम पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से,एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है।||0.660
Line 103: Line 109:
| आंशिक (पी) || कुछ डेटा या सिस्टम फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का दायरा सीमित है।||0.275
| आंशिक (पी) || कुछ डेटा या सिस्टम फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का दायरा सीमित है।||0.275
|-
|-
| पूर्ण (सी) || अखंडता का कुल नुकसान होता है; हमलावर लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है।||0.660
| पूर्ण (सी) || अखंडता का कुल नुकसान होता है; आक्रमणकारी लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है।||0.660
|}
|}




====उपलब्धता ====
====उपलब्धता ====
उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। हमले जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, सिस्टम की उपलब्धता को प्रभावित करते हैं।
उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। आघात जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, सिस्टम की उपलब्धता को प्रभावित करते हैं।
{| class="wikitable"
{| class="wikitable"
|-
|-
Line 143: Line 149:
\textsf{BaseScore} =  \textsf{roundTo1Decimal}( ((0.6 \times \textsf{Impact}) +(0.4 \times \textsf{Exploitability})-1.5) \times f(\textsf{Impact}))
\textsf{BaseScore} =  \textsf{roundTo1Decimal}( ((0.6 \times \textsf{Impact}) +(0.4 \times \textsf{Exploitability})-1.5) \times f(\textsf{Impact}))
</math>
</math>
भेद्यता के लिए CVSS वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।
भेद्यता के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।


==== उदाहरण ====
==== उदाहरण ====
Line 152: Line 158:
! Metric !! महत्व !! विवरण
! Metric !! महत्व !! विवरण
|-
|-
| ्सेस वेक्टर || नेटवर्क || भेद्यता को किसी भी नेटवर्क से ्सेस किया जा सकता है जो लक्ष्य प्रणाली तक पहुंच सकता है - सामान्यतः संपूर्ण इंटरनेट
| एक्सेस वेक्टर || नेटवर्क || भेद्यता को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो लक्ष्य प्रणाली तक पहुंच सकता है - सामान्यतः संपूर्ण इंटरनेट
|-
|-
| ्सेस जटिलता || न्यून || पहुँच के लिए कोई विशेष आवश्यकताएँ नहीं हैं
| एक्सेस जटिलता || न्यून || पहुँच के लिए कोई विशेष आवश्यकताएँ नहीं हैं
|-
|-
| प्रमाणीकरण || कोई नहीं || भेद्यता का लाभ उठाने के लिए प्रमाणीकरण की कोई आवश्यकता नहीं है
| प्रमाणीकरण || कोई नहीं || भेद्यता का लाभ उठाने के लिए प्रमाणीकरण की कोई आवश्यकता नहीं है
|-
|-
| गोपनीयता || आंशिक || हमलावर सिस्टम पर उपस्थित कुछ फाइलों और डेटा को पढ़ सकता है
| गोपनीयता || आंशिक || आक्रमणकारी सिस्टम पर उपस्थित कुछ फाइलों और डेटा को पढ़ सकता है
|-
|-
| अखंडता || आंशिक || हमलावर सिस्टम पर कुछ फाइलों और डेटा को बदल सकता है
| अखंडता || आंशिक || आक्रमणकारी सिस्टम पर कुछ फाइलों और डेटा को बदल सकता है
|-
|-
| उपलब्धता || पूर्ण || हमलावर सिस्टम को बंद करके सिस्टम और वेब सेवा को अनुपलब्ध / अनुत्तरदायी बना सकता है
| उपलब्धता || पूर्ण || आक्रमणकारी सिस्टम को बंद करके सिस्टम और वेब सेवा को अनुपलब्ध / अनुत्तरदायी बना सकता है
|}
|}
यह 9.0 का समग्र आधार स्कोर देते हुए 10 का  शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा।
यह 9.0 का समग्र आधार स्कोर देते हुए 10 का  शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा।
इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर  साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी तरह से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।
इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर  साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।


=== टेम्पोरल मेट्रिक्स ===
=== टेम्पोरल मेट्रिक्स ===
Line 179: Line 185:
| अप्रमाणित (यू) || कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है || 0.85
| अप्रमाणित (यू) || कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है || 0.85
|-
|-
| सबूत की अवधारणा (पी) || प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन हमले उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। || 0.9
| सबूत की अवधारणा (पी) || प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन आघात उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। || 0.9
|-
|-
| कार्यात्मक (एफ) || कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में काम करता है जहां भेद्यता उपस्थित है। || 0.95
| कार्यात्मक (एफ) || कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में कार्यकरता है जहां भेद्यता उपस्थित है। || 0.95
|-
|-
| उच्च (एच) || मोबाइल कोड (जैसे कीड़ा या वायरस) सहित स्वचालित कोड द्वारा भेद्यता का लाभ उठाया जा सकता है। || 1.0
| उच्च (एच) || मोबाइल कोड (जैसे कीड़ा या वायरस) सहित स्वचालित कोड द्वारा भेद्यता का लाभ उठाया जा सकता है। || 1.0
Line 234: Line 240:


=== उदाहरण ===
=== उदाहरण ===
ऊपर दिए गए उदाहरण के साथ जारी रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:
ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:
{| class="wikitable"
{| class="wikitable"
|-
|-
Line 331: Line 337:
! मीट्रिक !! महत्व !! विवरण
! मीट्रिक !! महत्व !! विवरण
|-
|-
| संपार्श्विक क्षति संभावित || मध्यम ऊँचाई || यह मान इस बात पर निर्भर करेगा कि यदि  न्यूनजोर प्रणाली का शोषण किया जाता है तो हमलावर किस सूचना तक पहुँच प्राप्त कर सकता है। इस मामले में मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
| संपार्श्विक क्षति संभावित || मध्यम ऊँचाई || यह मान इस बात पर निर्भर करेगा कि यदि  न्यूनजोर प्रणाली का शोषण किया जाता है तो आक्रमणकारी किस सूचना तक पहुँच प्राप्त कर सकता है। इस मामले में मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
|-
|-
| लक्ष्य वितरण || उच्च || बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
| लक्ष्य वितरण || उच्च || बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
Line 344: Line 350:


===संस्करण 2=== की आलोचना
===संस्करण 2=== की आलोचना
कई विक्रेताओं और संगठनों ने CVSSv2 के प्रति असंतोष व्यक्त किया।
कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।


जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की न्यूनियों और विफलताओं के बारे में FIRST को  सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2">{{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की न्यूनी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की न्यूनजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में FIRST को  सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2">{{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की न्यूनी का हवाला दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की कमजोरियों को ठीक से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।


आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य पेश किया।<ref name="oracle_partialplus">{{cite web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html |title=सीवीएसएस स्कोरिंग सिस्टम|publisher=Oracle |date=2010-06-01 |accessdate=2015-11-15}}</ref>
आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य प्रस्तुत किया।<ref name="oracle_partialplus">{{cite web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html |title=सीवीएसएस स्कोरिंग सिस्टम|publisher=Oracle |date=2010-06-01 |accessdate=2015-11-15}}</ref>


== संस्करण 3 ==
== संस्करण 3 ==
इनमें से कुछ आलोचनाओं को दूर करने के लिए, CVSS संस्करण 3 का विकास 2012 में शुरू किया गया था। अंतिम विनिर्देश को CVSS v3.0 नाम दिया गया था और जून 2015 में जारी किया गया था।  विशिष्टता दस्तावेज़ के अलावा,  उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी जारी किए गए थे।<ref name="cvssv3.0_specs">{{cite web|url=https://www.first.org/cvss/specification-document |title=CVSS v3,.0 विशिष्टता दस्तावेज़|publisher=FIRST, Inc. |date= |accessdate=2015-11-15}}</ref>
इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस संस्करण 3 का विकास 2012 में प्रारंभकिया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था।  विशिष्टता दस्तावेज़ के अलावा,  उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी निरंतर किए गए थे।<ref name="cvssv3.0_specs">{{cite web|url=https://www.first.org/cvss/specification-document |title=CVSS v3,.0 विशिष्टता दस्तावेज़|publisher=FIRST, Inc. |date= |accessdate=2015-11-15}}</ref>


कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), न्यून (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग<ref name="cvss3.0_severities">{{cite web |url=https://www.first.org/cvss/specification-document#i5 |title=सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)|author=<!--Staff writer(s); no by-line.--> |publisher=First.org |accessdate=2016-01-10}}</ref> को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे
कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), न्यून (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग<ref name="cvss3.0_severities">{{cite web |url=https://www.first.org/cvss/specification-document#i5 |title=सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)|author=<!--Staff writer(s); no by-line.--> |publisher=First.org |accessdate=2016-01-10}}</ref> को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे
Line 359: Line 365:


==== बेस मेट्रिक्स ====
==== बेस मेट्रिक्स ====
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को न्यूनजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के ्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन न्यूनजोरियों का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को कमजोरियों को भिन्न करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना जरूरी था। पहले, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन कमजोरियों का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।


गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को CVSSv2 के आंशिक, पूर्ण के बजाय कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को सीवीएसएसv2 के आंशिक, पूर्ण के बजाय कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।


्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि ्सेस विशेषाधिकारों को  अलग मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर हमलावर को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो  अलग मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।
एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को  भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर आक्रमणकारी को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो  भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।


अटैक वेक्टर (एवी) ने उन न्यूनजोरियों का वर्णन करने के लिए भौतिक (पी) के  नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।
अटैक वेक्टर (एवी) ने उन कमजोरियों का वर्णन करने के लिए भौतिक (पी) के  नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।


टेम्पोरल मेट्रिक्स ===
टेम्पोरल मेट्रिक्स ===
टेम्पोरल मेट्रिक्स CVSSv2 से अनिवार्य रूप से अपरिवर्तित थे।
टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।


==== पर्यावरण मेट्रिक्स ====
==== पर्यावरण मेट्रिक्स ====
CVSSv2 के पर्यावरणीय मेट्रिक्स को पूरी तरह से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है।  विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।
सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है।  विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।


===संस्करण 3 की आलोचना===
===संस्करण 3 की आलोचना===
सितंबर 2015 में  ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में न्यूनजोरियों को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>
सितंबर 2015 में  ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में कमजोरियों को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>


== संस्करण 3.1 ==
== संस्करण 3.1 ==
CVSS के लिए मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना उपस्थिता CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।
सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में सुधार करते हैं।


FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही न्यूनजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए  नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के  बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।
फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही कमजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई भिन्न-भिन्न निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए  नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के  बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता होते है।


सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। CVSS के विस्तार की नई मानक विधि, जिसे CVSS ्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।
सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।


== दत्तक ग्रहण ==
== दत्तक ग्रहण ==
सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा न्यूनजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:
सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा कमजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:
* [[राष्ट्रीय भेद्यता डेटाबेस]] | राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)<ref name="nvdb_main">{{cite web|url=http://nvd.nist.gov/home.cfm |title=राष्ट्रीय भेद्यता डेटाबेस होम|publisher=Nvd.nist.gov |date= |accessdate=2013-04-16}}</ref>
* [[राष्ट्रीय भेद्यता डेटाबेस]] (एनवीडी)<ref name="nvdb_main">{{cite web|url=http://nvd.nist.gov/home.cfm |title=राष्ट्रीय भेद्यता डेटाबेस होम|publisher=Nvd.nist.gov |date= |accessdate=2013-04-16}}</ref>
* [[ओपन सोर्स भेद्यता डेटाबेस]] | ओपन सोर्स भेद्यता डेटाबेस (OSVDB)<ref name="osvdb_main">{{cite web|url=http://www.osvdb.org/ |title=ओपन सोर्स भेद्यता डेटाबेस|publisher=OSVDB |date= |accessdate=2013-04-16}}</ref>
* [[ओपन सोर्स भेद्यता डेटाबेस]] (ओएसवीडीबी)<ref name="osvdb_main">{{cite web|url=http://www.osvdb.org/ |title=ओपन सोर्स भेद्यता डेटाबेस|publisher=OSVDB |date= |accessdate=2013-04-16}}</ref>
* सीईआरटी समन्वय केंद्र,<ref name="cert_uses_cvss">{{cite web|url=https://insights.sei.cmu.edu/cert/2012/04/-vulnerability-severity-using-cvss.html |title=सीवीएसएस का उपयोग कर भेद्यता गंभीरता|publisher=CERT Coordination Center |date=2012-04-12 |accessdate=2015-11-15}}</ref> जो विशेष रूप से CVSSv2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है
* सीईआरटी समन्वय केंद्र,<ref name="cert_uses_cvss">{{cite web|url=https://insights.sei.cmu.edu/cert/2012/04/-vulnerability-severity-using-cvss.html |title=सीवीएसएस का उपयोग कर भेद्यता गंभीरता|publisher=CERT Coordination Center |date=2012-04-12 |accessdate=2015-11-15}}</ref> जो विशेष रूप से सीवीएसएसv2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है


== यह भी देखें ==
== यह भी देखें ==
Line 399: Line 405:


==बाहरी संबंध==
==बाहरी संबंध==
*[http://www.first.org/cvss The Forum of Incident Response and Security Teams (FIRST) CVSS site]
*[http://www.first.org/cvss The Forum of Incident Response and Security Teams (FIRST) सीवीएसएस site]
*[http://nvd.nist.gov/cvss.cfm National Vulnerability Database (NVD) CVSS site]
*[http://nvd.nist.gov/cvss.cfm National Vulnerability Database (NVD) सीवीएसएस site]
*[http://nvd.nist.gov/cvss.cfm?calculator&version=2 Common Vulnerability Scoring System v2 Calculator]
*[http://nvd.nist.gov/cvss.cfm?calculator&version=2 Common Vulnerability Scoring System v2 Calculator]
[[Category: कंप्यूटर सुरक्षा मानक]] [[Category: कंप्यूटर नेटवर्क सुरक्षा]]  
[[Category: कंप्यूटर सुरक्षा मानक]] [[Category: कंप्यूटर नेटवर्क सुरक्षा]]  

Revision as of 16:25, 13 May 2023

सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सुरक्षा भेद्यता (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए स्वतंत्र और विवृत उद्योग मानक है। सीवीएसएस कमजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिएएन्यूनात्र सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से कमजोर प्रणाली क्रमशः उपस्थित हैं।

सीवीएसएस (सीवीएसएसवी3.1) का वर्तमान संस्करण जून 2019 में निरंतर किया गया था।[1]

इतिहास

2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।[3][4]

उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।[5]

आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस संस्करण 3 पर कार्य प्रारंभ हुआ[6] 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।[2][7]


शब्दावली

सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:

1. भेद्यता के आंतरिक गुणों के लिए बेस मेट्रिक्स

2. भेद्यता के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स

3. कमजोरियों के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

संस्करण 2

सीवीएसएसv2 के लिए संपूर्ण दस्तावेज़ीकरण फर्स्ट से उपलब्ध है।[8] नीचे सारांश दिया गया है।

बेस मेट्रिक्स

एक्सेस वेक्टर

एक्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।

महत्व विवरण अंक
स्थानीय (एल) आक्रमणकारी के निकट या तो न्यूनजोर प्रणाली (जैसे फायरवायर आघात) या स्थानीय खाते (जैसे विशेषाधिकार वृद्धि आघात) तक भौतिक पहुंच होनी चाहिए। 0.395
आसन्न नेटवर्क (ए) आक्रमणकारी के निकट न्यूनजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ आघात)। 0.646
नेटवर्क (एन) असुरक्षित इंटरफ़ेस ओएसआई नेटवर्क स्टैक की परत 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की कमजोरियों को अधिकांशतः दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में दूरस्थ बफर अतिप्रवाह) 1.0


पहुंच जटिलता

पहुंच जटिलता (एसी) मीट्रिक बताती है कि अनुसंधान गई भेद्यता का लाभ उठाना कितना आसान या कठिन है।

महत्व विवरण अंक
उच्च (एच) विशिष्ट स्थितियाँ उपस्थित हैं, जैसे संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है। 0.35
मध्यम (एम) आघात के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे आघात की उत्पत्ति पर सीमा, या असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ न्यूनजोर प्रणाली के चलने की आवश्यकता। 0.61
न्यून (एल) भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो। 0.71


प्रमाणीकरण

ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब आक्रमणकारी को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक कमजोरियों के लिए, यह मानएन्यूनात्र ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।

महत्व विवरण अंक
ाधिक (एम) भेद्यता के शोषण के लिए आवश्यक है कि आक्रमणकारी दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए। 0.45
ल (एस) भेद्यता का लाभ उठाने के लिए आक्रमणकारी को बार प्रमाणित करना होगा। 0.56
कोई नहीं (एन) आक्रमणकारी को प्रमाणित करने की कोई आवश्यकता नहीं है। 0.704


प्रभाव मेट्रिक्स

गोपनीयता

गोपनीयता (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की गोपनीयता पर प्रभाव का वर्णन करता है।

महत्व विवरण अंक
कोई नहीं (एन) सिस्टम की गोपनीयता पर कोई प्रभाव नहीं पड़ता है। 0.0
आंशिक (पी) जानकारी का काफी खुलासा हुआ है, लेकिन नुकसान का दायरा इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं। 0.275
पूर्ण (सी) सिस्टम पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से,एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है। 0.660


ईमानदारी

सत्यनिष्ठा (I) मीट्रिक शोषित प्रणाली की अखंडता पर प्रभाव का वर्णन करता है।

महत्व विवरण अंक
कोई नहीं (एन) सिस्टम की अखंडता पर कोई प्रभाव नहीं पड़ता है। 0.0
आंशिक (पी) कुछ डेटा या सिस्टम फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का दायरा सीमित है। 0.275
पूर्ण (सी) अखंडता का कुल नुकसान होता है; आक्रमणकारी लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है। 0.660


उपलब्धता

उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। आघात जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, सिस्टम की उपलब्धता को प्रभावित करते हैं।

महत्व विवरण अंक
कोई नहीं (एन) सिस्टम की उपलब्धता पर कोई प्रभाव नहीं पड़ता है। 0.0
आंशिक (पी) प्रदर्शन न्यून हो गया है या कुछ कार्यक्षमता का नुकसान हुआ है। 0.275
पूर्ण (सी) हमला किए गए संसाधन की उपलब्धता का कुल नुकसान हुआ है। 0.660


गणना

इन छह मेट्रिक्स का उपयोग शोषण क्षमता की गणना करने और भेद्यता के उप-स्कोर को प्रभावित करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

भेद्यता के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण

बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे बंद करने की क्षमता भी सम्मिलित है:

Metric महत्व विवरण
एक्सेस वेक्टर नेटवर्क भेद्यता को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो लक्ष्य प्रणाली तक पहुंच सकता है - सामान्यतः संपूर्ण इंटरनेट
एक्सेस जटिलता न्यून पहुँच के लिए कोई विशेष आवश्यकताएँ नहीं हैं
प्रमाणीकरण कोई नहीं भेद्यता का लाभ उठाने के लिए प्रमाणीकरण की कोई आवश्यकता नहीं है
गोपनीयता आंशिक आक्रमणकारी सिस्टम पर उपस्थित कुछ फाइलों और डेटा को पढ़ सकता है
अखंडता आंशिक आक्रमणकारी सिस्टम पर कुछ फाइलों और डेटा को बदल सकता है
उपलब्धता पूर्ण आक्रमणकारी सिस्टम को बंद करके सिस्टम और वेब सेवा को अनुपलब्ध / अनुत्तरदायी बना सकता है

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा। इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स का मूल्य भेद्यता के जीवनकाल में बदल जाता है, क्योंकि शोषण विकसित, खुलासा और स्वचालित होता है और जैसे ही शमन और सुधार उपलब्ध होते हैं।

शोषणशीलता

शोषण क्षमता (ई) मीट्रिक शोषण तकनीकों या स्वचालित शोषण कोड की वर्तमान स्थिति का वर्णन करती है।

महत्व विवरण अंक
अप्रमाणित (यू) कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है 0.85
सबूत की अवधारणा (पी) प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन आघात उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। 0.9
कार्यात्मक (एफ) कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में कार्यकरता है जहां भेद्यता उपस्थित है। 0.95
उच्च (एच) मोबाइल कोड (जैसे कीड़ा या वायरस) सहित स्वचालित कोड द्वारा भेद्यता का लाभ उठाया जा सकता है। 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को अनदेखा करने का संकेत है। 1.0


उपचारात्मक स्तर

भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को न्यून करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।

महत्व विवरण अंक
आधिकारिक फिक्स (ओ) पूर्ण विक्रेता समाधान उपलब्ध है - या तो पैच या अपग्रेड। 0.87
अस्थायी सुधार (टी) विक्रेता से आधिकारिक लेकिन अस्थायी सुधार/शमन उपलब्ध है। 0.90
समाधान (डब्ल्यू) अनौपचारिक, गैर-विक्रेता समाधान या शमन उपलब्ध है - शायद प्रभावित उत्पाद या किसी अन्य तृतीय पक्ष के उपयोगकर्ताओं द्वारा विकसित या सुझाया गया हो। 0.95
अनुपलब्ध (यू) कोई समाधान उपलब्ध नहीं है, या सुझाए गए समाधान को प्रारम्भ करना असंभव है। जब भेद्यता की पहचान की जाती है तो यह उपचारात्मक स्तर की सामान्य प्रारंभिक स्थिति होती है। 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को अनदेखा करने का संकेत है। 1.0


रिपोर्ट विश्वास

भेद्यता की रिपोर्ट विश्वास (आरसी) भेद्यता के अस्तित्व में विश्वास के स्तर को मापता है और भेद्यता के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

मूल्य विवरण अंक
अपुष्ट (यूसी) अपुष्ट स्रोत, या ाधिक परस्पर विरोधी स्रोत। अफवाह भेद्यता। 0.9
असंपुष्ट (यूआर) कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है 0.95
पुष्टि (सी) प्रभावित उत्पाद के विक्रेता या निर्माता द्वारा स्वीकार और पुष्टि की गई। 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को अनदेखा करने का संकेत है। 1.0


गणना

इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पहले से ही संबंधित वेक्टर के साथ भेद्यता के लिए अस्थायी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:


उदाहरण

ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:

Metric महत्व विवरण
शोषण अवधारणा का सबूत बुनियादी शोषण की कार्यक्षमता दिखाने के लिए प्रूफ-ऑफ अवधारणा, गैर-स्वचालित कोड प्रदान किया जाता है।
उपचारात्मक स्तर अनुपलब्ध विक्रेता को अभी तक शमन प्रदान करने या ठीक करने का अवसर नहीं मिला है।
विश्वास की रिपोर्ट करें अपुष्ट भेद्यता की ही रिपोर्ट की गई है

यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक न्यून कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से न्यून नहीं हो सकता है, और यदि भेद्यता के लिए स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।

पर्यावरण मेट्रिक्स

पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग न्यूनजोर उत्पाद या सॉफ़्टवेयर को तैनात करने के तरीके के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।

संपार्श्विक क्षति संभावित

संपार्श्विक क्षति क्षमता (सीडीपी) मीट्रिक भौतिक संपत्ति जैसे उपकरण (और जीवन) पर संभावित नुकसान या प्रभाव को मापता है, या यदि भेद्यता का शोषण किया जाता है तो प्रभावित संगठन पर वित्तीय प्रभाव पड़ता है।

महत्व विवरण अंक
कोई नहीं (एन) संपत्ति, राजस्व या उत्पादकता के नुकसान की कोई संभावना नहीं है 0
न्यून (एल) संपत्ति को थोड़ा नुकसान, या राजस्व या उत्पादकता का मामूली नुकसान 0.1
निम्न-मध्यम (एलएम) मध्यम क्षति या हानि 0.3
मध्यम-उच्च (एमएच) महत्वपूर्ण क्षति या हानि 0.4
उच्च (एच) विपत्तिपूर्ण क्षति या हानि 0.5
परिभाषित नहीं (एनडी) यह इस स्कोर को अनदेखा करने का संकेत है। 0


लक्ष्य वितरण

लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में न्यूनजोर प्रणालियों के अनुपात को मापता है।

महत्व विवरण अंक
कोई नहीं (एन) कोई लक्ष्य प्रणाली उपस्थित नहीं है, वे एन्यूनात्र प्रयोगशाला सेटिंग में उपस्थित हैं 0
न्यून (एल) 1-25% सिस्टम जोखिम में हैं 0.25
मध्यम (एम) 26–75% सिस्टम जोखिम में हैं 0.75
उच्च (एच) 76-100% सिस्टम जोखिम में हैं 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को अनदेखा करने का संकेत है। 1.0


इम्पैक्ट सब्सकोर संशोधक

तीन और मेट्रिक्स गोपनीयता (सीआर), अखंडता (आईआर) और उपलब्धता (एआर) के लिए विशिष्ट सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को उपयोगकर्ताओं के पर्यावरण के अनुसार ठीक-ठाक किया जा सकता है।

महत्व विवरण अंक
न्यून (एल) (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन परएन्यूनात्र सीमित प्रभाव पड़ने की संभावना है। 0.5
मध्यम (एम) (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर गंभीर प्रभाव पड़ने की संभावना है। 1.0
उच्च (एच) (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर विपत्तिपूर्ण प्रभाव पड़ने की संभावना है। 1.51
परिभाषित नहीं (एनडी) यह इस स्कोर को अनदेखा करने का संकेत है। 1.0


गणना

पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पहले से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।


उदाहरण

यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

मीट्रिक महत्व विवरण
संपार्श्विक क्षति संभावित मध्यम ऊँचाई यह मान इस बात पर निर्भर करेगा कि यदि न्यूनजोर प्रणाली का शोषण किया जाता है तो आक्रमणकारी किस सूचना तक पहुँच प्राप्त कर सकता है। इस मामले में मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
लक्ष्य वितरण उच्च बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
गोपनीयता की आवश्यकता उच्च ग्राहक उम्मीद करते हैं कि उनकी बैंकिंग जानकारी गोपनीय होगी।
अखंडता की आवश्यकता उच्च प्राधिकरण के बिना वित्तीय और व्यक्तिगत जानकारी बदलने योग्य नहीं होनी चाहिए।
उपलब्धता की आवश्यकता न्यून ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से ग्राहकों को असुविधा हो सकती है, लेकिन विनाशकारी नहीं।

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में महत्वपूर्ण भेद्यता है।

===संस्करण 2=== की आलोचना कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।

जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में FIRST को सार्वजनिक पत्र प्रकाशित किया।[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की न्यूनी का हवाला दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की कमजोरियों को ठीक से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य प्रस्तुत किया।[10]

संस्करण 3

इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस संस्करण 3 का विकास 2012 में प्रारंभकिया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता दस्तावेज़ के अलावा, उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी निरंतर किए गए थे।[11]

कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), न्यून (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग[12] को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे .[13]

संस्करण 2 से परिवर्तन

बेस मेट्रिक्स

बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को कमजोरियों को भिन्न करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना जरूरी था। पहले, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन कमजोरियों का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को सीवीएसएसv2 के आंशिक, पूर्ण के बजाय कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर आक्रमणकारी को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन कमजोरियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स === टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।

पर्यावरण मेट्रिक्स

सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।

संस्करण 3 की आलोचना

सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में कमजोरियों को स्कोर करने में किया जाता है।[14]

संस्करण 3.1

सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में सुधार करते हैं।

फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही कमजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई भिन्न-भिन्न निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता होते है।

सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

दत्तक ग्रहण

सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा कमजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:

यह भी देखें

  • सामान्य न्यूनजोरी गणना (सीडब्ल्यूई)
  • सामान्य भेद्यताएं और जोखिम (सीवीई)
  • आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)

संदर्भ

  1. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  2. 2.0 2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
  3. "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
  4. "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18. MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
  5. "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
  6. "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
  7. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  8. "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
  9. {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
  10. "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
  11. "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
  12. "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
  13. "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
  14. "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
  15. "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
  16. "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
  17. "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.


बाहरी संबंध