कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(4 intermediate revisions by 4 users not shown)
Line 1: Line 1:
{{Short description|Standard for assessing computer system vulnerabilities}}सामान्य भेद्यता स्कोरिंग प्रणाली (सीवीएसएस) [[कंप्यूटर सुरक्षा]] [[भेद्यता (कंप्यूटिंग)]] की गंभीरता का आकलन करने के लिए स्वतंत्र और [[खुला मानक|विवृत]] [[तकनीकी मानक|उद्योग मानक]] है। सीवीएसएस शक्तिहीनियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई [[सॉफ्टवेयर मीट्रिक]] पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिएएन्यूनात्र सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से शक्तिहीन प्रणाली क्रमशः उपस्थित हैं।
{{Short description|Standard for assessing computer system vulnerabilities}}'''कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम''' (सीवीएसएस) [[कंप्यूटर सुरक्षा|कंप्यूटर सिक्योरिटी]] [[भेद्यता (कंप्यूटिंग)|वल्नेरेबिलिटी (कंप्यूटिंग)]] की गंभीरता का आकलन करने के लिए फ्री और [[खुला मानक|ओपन]] [[तकनीकी मानक|इंडस्ट्री स्टैण्डर्ड]] है। सीवीएसएस वल्नेरेबिलिटी के लिए सेवरिटी स्कोर निर्दिष्ट करने का प्रयास करता है, जिससे रेस्पॉन्डर्स को थ्रेट के अनुसार रेस्पॉन्सेस और रिसोर्सेज को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई [[सॉफ्टवेयर मीट्रिक]] पर निर्भर करता है जो किसी एक्सप्लॉइट की सरलता और इम्पैक्ट का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे सीरियस होता है। जबकि कई लोग सेवरिटी का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं,, टेम्पोरल और एनवायर्नमेंटल स्कोर भी उपस्थित होते हैं, जो क्रमशः मिटिगेशंस की अवेलेबिलिटी और आर्गेनाईजेशन के भीतर व्यापक रूप से कितने वल्नरेबल सिस्टम्स उपस्थित हैं इसका ध्यान में रखते हैं।


सीवीएसएस (सीवीएसएसवी3.1) का वर्तमान संस्करण जून 2019 में निरंतर किया गया था।<ref name="cvss3.1">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>
सीवीएसएस (सीवीएसएसवी 3.1) का वर्तमान वर्जन जून 2019 में प्रस्तावित किया गया था।<ref name="cvss3.1">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>


{{toclimit|3}}
{{toclimit|3}}


== इतिहास ==
== इतिहास ==
2003/2004 में [[राष्ट्रीय अवसंरचना सलाहकार परिषद]] (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।<ref name=":0">{{Cite journal |last1=Johnson |first1=Pontus |last2=Lagerstrom |first2=Robert |last3=Ekstedt |first3=Mathias |last4=Franke |first4=Ulrik |date=2018-11-01 |title=Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis |url=https://ieeexplore.ieee.org/document/7797152 |journal=IEEE Transactions on Dependable and Secure Computing |volume=15 |issue=6 |pages=1002–1015 |doi=10.1109/TDSC.2016.2644614 |s2cid=53287880 |issn=1545-5971}}</ref> सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।<ref name="cvssv1">{{cite web |url=https://www.first.org/cvss/v1 |title=सीवीएसएस v1 आर्काइव|author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref><ref>{{cite web
2003/2004 में [[राष्ट्रीय अवसंरचना सलाहकार परिषद]] (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।<ref name=":0">{{Cite journal |last1=Johnson |first1=Pontus |last2=Lagerstrom |first2=Robert |last3=Ekstedt |first3=Mathias |last4=Franke |first4=Ulrik |date=2018-11-01 |title=Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis |url=https://ieeexplore.ieee.org/document/7797152 |journal=IEEE Transactions on Dependable and Secure Computing |volume=15 |issue=6 |pages=1002–1015 |doi=10.1109/TDSC.2016.2644614 |s2cid=53287880 |issn=1545-5971}}</ref> सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के टारगेट के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।<ref name="cvssv1">{{cite web |url=https://www.first.org/cvss/v1 |title=सीवीएसएस v1 आर्काइव|author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref><ref>{{cite web
|title=NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC
|title=NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC
|url=https://www.cisa.gov/sites/default/files/publications/niac-qbm-minutes-04-12-05-508.pdf
|url=https://www.cisa.gov/sites/default/files/publications/niac-qbm-minutes-04-12-05-508.pdf
Line 14: Line 14:
|accessdate=2022-07-18}}</ref>
|accessdate=2022-07-18}}</ref>


उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।<ref name="cvssv2">{{cite web |url=https://www.first.org/cvss/v2/history |title=CVSS v2 History |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref>
उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ सिग्नीफिकेन्ट मुद्दे थे। सीवीएसएस वर्जन 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।<ref name="cvssv2">{{cite web |url=https://www.first.org/cvss/v2/history |title=CVSS v2 History |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref>
 
आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस संस्करण 3 पर कार्य प्रारंभ हुआ<ref name="cvss3">{{cite web |url=http://www.first.org/cvss/v3/development |title=Announcing the CVSS Special Interest Group for CVSS v3 Development |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=March 2, 2013 |archive-url=https://web.archive.org/web/20130217111355/http://www.first.org/cvss/v3/development |archive-date=February 17, 2013 |url-status=dead }}</ref> 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।<ref name=":0" /><ref name="cvss3.0">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>
 
 


आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस वर्जन 3 पर कार्य प्रारंभ हुआ<ref name="cvss3">{{cite web |url=http://www.first.org/cvss/v3/development |title=Announcing the CVSS Special Interest Group for CVSS v3 Development |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=March 2, 2013 |archive-url=https://web.archive.org/web/20130217111355/http://www.first.org/cvss/v3/development |archive-date=February 17, 2013 |url-status=dead }}</ref> 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।<ref name=":0" /><ref name="cvss3.0">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref>
== शब्दावली ==
== शब्दावली ==
सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:
सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:


1. भेद्यता के आंतरिक गुणों के लिए बेस मेट्रिक्स
1. वल्नेरेबिलिटी के आंतरिक गुणों के लिए बेस मेट्रिक्स


2. भेद्यता के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स
2. वल्नेरेबिलिटी के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स


3. शक्तिहीनियों के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।
3. वुलनेराबिलिटीज़ के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।


इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।


== संस्करण 2 ==
== वर्जन 2 ==
सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है।<ref name="cvssv2_specs">{{cite web|url=https://www.first.org/cvss/v2/guide |title=सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण|publisher=First.org, Inc. |date= |accessdate=2015-11-15}}</ref> नीचे सारांश दिया गया है।
सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है।<ref name="cvssv2_specs">{{cite web|url=https://www.first.org/cvss/v2/guide |title=सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण|publisher=First.org, Inc. |date= |accessdate=2015-11-15}}</ref> नीचे सारांश दिया गया है।


Line 38: Line 35:
==== एक्सेस वेक्टर ====
==== एक्सेस वेक्टर ====


एक्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।
एक्सेस वेक्टर (एवी) दिखाता है कि वल्नेरेबिलिटी का एक्सप्लोइटेशन कैसे किया जा सकता है।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| स्थानीय (एल)|| आक्रमणकारी के निकट या तो शक्तिहीन प्रणाली (जैसे फायरवायर आघात) या स्थानीय खाते (जैसे विशेषाधिकार वृद्धि आघात) तक भौतिक पहुंच होनी चाहिए।||0.395
| लोकल (एल)|| अटैककर्स के निकट या तो वल्नरेबल सिस्टम (जैसे फायरवायर अटैककर्स) या लोकल अकाउंट (जैसे प्रिविलेज एस्कालेशन अटैककर्स) तक फिजिकल एक्सेस होना चाहिए।||0.395
|-
|-
| आसन्न नेटवर्क (ए)|| आक्रमणकारी के निकट शक्तिहीन  प्रणाली के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ आघात)।||0.646
| अदजसेंट नेटवर्क (ए)|| अटैककर्स के निकट वल्नरेबल सिस्टम के बोर्डकास्ट या कोलिजन डोमेन तक एक्सेस होना चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ अटैककर्स)।||0.646
|-
|-
| नेटवर्क (एन)||असुरक्षित इंटरफ़ेस ओएसआई नेटवर्क स्टैक की परत 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की शक्तिहीनियों को अधिकांशतः दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में दूरस्थ बफर अतिप्रवाह)
| नेटवर्क (एन)||वल्नरेबल इंटरफ़ेस ओएसआई नेटवर्क स्टैक की लेयर 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की वुलनेराबिलिटीज़ को अधिकांशतः ओवरफ्लो से एक्सप्लोइटेबल के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सर्विस में ओवरफ्लो बफर रिमोट)
|1.0
|1.0
|}
|}


==== एक्सेस कम्प्लेक्सिटी ====


==== पहुंच जटिलता ====
एक्सेस कम्प्लेक्सिटी (एसी) मीट्रिक बताती है कि अनुसंधान गई वल्नेरेबिलिटी का लाभ उठाना कितना आसान या कठिन है।
 
पहुंच जटिलता (एसी) मीट्रिक बताती है कि अनुसंधान गई भेद्यता का लाभ उठाना कितना आसान या कठिन है।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| उच्च (एच)|| विशिष्ट स्थितियाँ उपस्थित हैं, जैसे संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।||0.35
| हाई (एच)|| स्पेशलिज़्ड कंडीशन उपस्थित हैं, जैसे नैरो विंडो के साथ रेस की कंडीशन, या सोशल इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा सरलता से देखी जा सकती है।||0.35
|-
|-
| मध्यम (एम)||आघात के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे आघात की उत्पत्ति पर सीमा, असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ शक्तिहीन प्रणाली के चलने की आवश्यकता।
| मीडियम (एम)||अटैककर्स के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे अटैककर्स की उत्पत्ति पर सीमा, अनकॉमन, नॉन-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ वल्नरेबल सिस्टम के चलने की आवश्यकता।
|0.61
|0.61
|-
|-
| न्यून (एल)|| भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब प्रणाली बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो।||0.71
| लो (एल)|| वल्नेरेबिलिटी का एक्सप्लोइटिंग करने के लिए कोई विशेष कंडीशन नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में यूजर के लिए उपलब्ध हो, या वल्नरेबल कॉन्फ़िगरेशन यूबीक्विटोस हो।||0.71
|}
|}


====ऑथेंटिकेशन====


====प्रमाणीकरण====
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब अटैककर्स को टारगेट का लाभ उठाने के लिए उसे ऑथेंटिकेट करना होता है। इसमें (उदाहरण के लिए) एक्सेस प्राप्त करने के लिए किसी नेटवर्क का ऑथेंटिकेशन सम्मिलित नहीं है। लोकल रूप से एक्सप्लोइटेबल वुलनेराबिलिटीज़ के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक एक्सेस के बाद और ऑथेंटिकेशन की आवश्यकता हो।
 
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब आक्रमणकारी को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक शक्तिहीनियों के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| ाधिक (एम)|| भेद्यता के शोषण के लिए आवश्यक है कि आक्रमणकारी दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए।||0.45
| मल्टीप्ल (एम)|| वल्नेरेबिलिटी के एक्सप्लोइटेशन के लिए आवश्यक है कि अटैककर्स दो या अधिक बार ऑथेंटिकेट करे, भले ही समान क्रेडेंशियल्स का उपयोग किया जाए।||0.45
|-
|-
| (एस) || भेद्यता का लाभ उठाने के लिए आक्रमणकारी को बार प्रमाणित करना होगा।||0.56
| सिंगल (एस) || वल्नेरेबिलिटी का लाभ उठाने के लिए अटैककर्स को ऑथेंटिकेट करना होगा।||0.56
|-
|-
| कोई नहीं (एन)|| आक्रमणकारी को प्रमाणित करने की कोई आवश्यकता नहीं है।||0.704
| नन (एन)|| अटैककर्स को ऑथेंटिकेट करने की कोई आवश्यकता नहीं है।||0.704
|}
|}


=== इम्पैक्ट मेट्रिक्स ===


=== प्रभाव मेट्रिक्स ===
==== कॉन्फिडेंशियलिटी ====
 
कॉन्फिडेंशियलिटी (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की कॉन्फिडेंशियलिटी पर इम्पैक्ट का वर्णन करता है।
==== गोपनीयता ====
गोपनीयता (सी) मीट्रिक प्रणाली द्वारा संसाधित डेटा की गोपनीयता पर प्रभाव का वर्णन करता है।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| कोई नहीं (एन) || प्रणाली की गोपनीयता पर कोई प्रभाव नहीं पड़ता है।||0.0
| नन (एन) || सिस्टम की कॉन्फिडेंशियलिटी पर कोई इम्पैक्ट नहीं पड़ता है।||0.0
|-
|-
| आंशिक (पी) || जानकारी का अधिक स्पष्ट हुआ है, लेकिन क्षति का परिधि इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं।||0.275
| पार्शियल (पी) || इनफार्मेशन का अधिक डिसक्लोस्जर हुई है, किन्तु डैमेज की सीमा इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं।||0.275
|-
|-
| पूर्ण (सी) || प्रणाली पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से, एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है।||0.660
| कम्पलीट (सी) || सिस्टम पर किसी भी / सभी डेटा तक एक्सेस प्रदान करने के लिए कुल इनफार्मेशन डिसक्लोस्जर है। वैकल्पिक रूप से, केवल कुछ रिस्ट्रिक्टेड इनफार्मेशन तक ही एक्सेस प्राप्त की जाती है, किन्तु प्रकट की गई इनफार्मेशन डायरेक्ट, सीरियस इम्पैक्ट प्रस्तुत करती है।||0.660
|}
|}


 
====इंटीग्रिटी ====
====ईमानदारी ====
इंटीग्रिटी (I) मीट्रिक शोषित सिस्टम की इंटीग्रिटी पर इम्पैक्ट का वर्णन करता है।
सत्यनिष्ठा (I) मीट्रिक शोषित प्रणाली की अखंडता पर प्रभाव का वर्णन करता है।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| कोई नहीं (एन) || प्रणाली की अखंडता पर कोई प्रभाव नहीं पड़ता है।||0.0
| नन (एन) || सिस्टम की इंटीग्रिटी पर कोई इम्पैक्ट नहीं पड़ता है।||0.0
|-
|-
| आंशिक (पी) || कुछ डेटा या प्रणाली फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का परिधि सीमित है।||0.275
| पार्शियल (पी) || कुछ डेटा या सिस्टम फ़ाइलों का मॉडिफिकेशन संभव है, किन्तु मॉडिफिकेशन का स्कोप सीमित है।||0.275
|-
|-
| पूर्ण (सी) || अखंडता का कुल क्षति होता है; आक्रमणकारी लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है।||0.660
| कम्पलीट (सी) || इंटीग्रिटी का कुल लोस होता है; अटैककर्स टारगेट सिस्टम पर किसी भी फाइल या इनफार्मेशन को संशोधित कर सकता है।||0.660
|}
|}




====उपलब्धता ====
====अवेलेबिलिटी ====
उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। आघात जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, प्रणाली की उपलब्धता को प्रभावित करते हैं।
अवेलेबिलिटी (ए) मीट्रिक टारगेट सिस्टम की अवेलेबिलिटी पर इम्पैक्ट का वर्णन करती है। अटैककर्स जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य रिसोर्स का उपभोग करते हैं, सिस्टम की अवेलेबिलिटी को अफेक्टेड करते हैं।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| कोई नहीं (एन) || प्रणाली की उपलब्धता पर कोई प्रभाव नहीं पड़ता है।||0.0
| नन  (एन) || सिस्टम की अवेलेबिलिटी पर कोई इम्पैक्ट नहीं पड़ता है।||0.0
|-
|-
| आंशिक (पी) || प्रदर्शन न्यून हो गया है या कुछ कार्यक्षमता का क्षति हुआ है।||0.275
| पार्शियल (पी) || परफॉरमेंस लो हो है या कुछ फंक्शनलिटी भी लो गई है।||0.275
|-
|-
| पूर्ण (सी) || हमला किए गए संसाधन की उपलब्धता का कुल क्षति हुआ है।||0.660
| कम्पलीट (सी) || अटैकएड किए गए रिसोर्स की अवेलेबिलिटी का कुल लोस हुआ है।||0.660
|}
|}




=== गणना ===
=== गणना ===
इन छह मेट्रिक्स का उपयोग शोषण क्षमता की गणना करने और भेद्यता के उप-स्कोर को प्रभावित करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।
इन छह मेट्रिक्स का उपयोग एक्सप्लोइटेशन क्षमता की गणना करने और वल्नेरेबिलिटी के उप-स्कोर को अफेक्टेड करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।


<math>
<math>
Line 150: Line 143:
</math>
</math>


भेद्यता के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।
वल्नेरेबिलिटी के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।


==== उदाहरण ====
==== उदाहरण ====
बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो दूरस्थ उपयोगकर्ता को प्रणाली का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे संवृत करने की क्षमता भी सम्मिलित है:
बफर ओवरफ्लो वल्नेरेबिलिटी वेब सर्वर सॉफ़्टवेयर को अफेक्टेड करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का पार्शियल नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे शटिंग करने की क्षमता भी सम्मिलित है:


{| class="wikitable"
{| class="wikitable"
|-
|-
! Metric !! महत्व !! विवरण
! मेट्रिक !! वैल्यू !! विवरण
|-
|-
| एक्सेस वेक्टर || नेटवर्क || भेद्यता को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो लक्ष्य प्रणाली तक पहुंच सकता है - सामान्यतः संपूर्ण इंटरनेट
| एक्सेस वेक्टर || नेटवर्क || वल्नेरेबिलिटी को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो टारगेट सिस्टम तक एक्सेस सकता है - सामान्यतः संपूर्ण इंटरनेट
|-
|-
| एक्सेस जटिलता || न्यून || पहुँच के लिए कोई विशेष आवश्यकताएँ नहीं हैं
| एक्सेस कोम्प्लेक्सिटी || लो || एक्सेस के लिए कोई विशेष आवश्यकताएँ नहीं हैं
|-
|-
| प्रमाणीकरण || कोई नहीं || भेद्यता का लाभ उठाने के लिए प्रमाणीकरण की कोई आवश्यकता नहीं है
| ऑथेंटिकेशन || नन || वल्नेरेबिलिटी का लाभ उठाने के लिए ऑथेंटिकेशन की कोई आवश्यकता नहीं है
|-
|-
| गोपनीयता || आंशिक || आक्रमणकारी  प्रणाली पर उपस्थित कुछ फाइलों और डेटा को पढ़ सकता है
| कॉन्फिडेंशियलिटी || पार्शियल || अटैककर्स सिस्टम पर उपस्थित कुछ फाइलों और डेटा को रीड कर सकता है
|-
|-
| अखंडता || आंशिक || आक्रमणकारी  प्रणाली पर कुछ फाइलों और डेटा को बदल सकता है
| इंटीग्रिटी || पार्शियल || अटैककर्स सिस्टम पर कुछ फाइलों और डेटा को परिवर्तित कर सकता है
|-
|-
| उपलब्धता || पूर्ण || आक्रमणकारी  प्रणाली को संवृत करके प्रणाली और वेब सेवा को अनुपलब्ध / अनुत्तरदायी बना सकता है
| अवेलेबिलिटी || कम्पलीट || अटैककर्स सिस्टम को शटिंग करके सिस्टम और वेब सर्विस को एनवैलब्ले / अनरेस्पोंसिव बना सकता है
|}
|}
यह 9.0 का समग्र आधार स्कोर देते हुए 10 का शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा।
यह 9.0 का समग्र आधार स्कोर देते हुए 10 का एक्सप्लोइटेबल उप-स्कोर और 8.5 का इम्पैक्ट उप-स्कोर देगा।


इस स्थिति में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।
इस कंडीशन में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता वल्नेरेबिलिटी की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।


=== टेम्पोरल मेट्रिक्स ===
=== टेम्पोरल मेट्रिक्स ===
टेम्पोरल मेट्रिक्स का मूल्य भेद्यता के जीवनकाल में बदल जाता है, क्योंकि शोषण विकसित, सारांश और स्वचालित होता है और जैसे ही शमन और सुधार उपलब्ध होते हैं।
टेम्पोरल मेट्रिक्स का मूल्य वल्नेरेबिलिटी के जीवनकाल में परिवर्तित कर जाता है, क्योंकि एक्सप्लोइटेशन विकसित, सारांश और ऑटोमेटेड होता है और जैसे ही मिटिगेशन और फिक्स उपलब्ध होते हैं।


==== शोषणशीलता ====
==== एक्सप्लोइटाबिलिटी ====
शोषण क्षमता (ई) मीट्रिक शोषण तकनीकों या स्वचालित शोषण कोड की वर्तमान स्थिति का वर्णन करती है।
एक्सप्लोइटेशन क्षमता (ई) मीट्रिक एक्सप्लोइटेशन तकनीकों या ऑटोमेटेड एक्सप्लोइटेशन कोड की वर्तमान कंडीशन का वर्णन करती है।


{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| अप्रमाणित (यू) || कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है || 0.85
| अनप्रोवेन (यू) || कोई एक्सप्लोइटेशन कोड उपलब्ध नहीं है, या एक्सप्लोइटेशन थ्योरेटिकल है || 0.85
|-
|-
| प्रमाण  की अवधारणा (पी) || प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन आघात उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। || 0.9
| प्रूफ ऑफ़ कांसेप्ट (पी) || प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लोइटेशन कोड या परफॉरमेंस अटैककर्स उपलब्ध हैं, किन्तु व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। वल्नेरेबिलिटी के सभी उदाहरणों के अगेंस्ट फंक्शनल नहीं है। || 0.9
|-
|-
| कार्यात्मक (एफ) || कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में कार्यकरता है जहां भेद्यता उपस्थित है। || 0.95
| फंक्शनल (एफ) || फंक्शनल एक्सप्लोइटेशन कोड उपलब्ध है, और अधिकांश स्थितियों में कार्यकरता है जहां वल्नेरेबिलिटी उपस्थित है। || 0.95
|-
|-
| उच्च (एच) || मोबाइल कोड (जैसे कीड़ा या वायरस) सहित स्वचालित कोड द्वारा भेद्यता का लाभ उठाया जा सकता है। || 1.0
| हाई (एच) || मोबाइल कोड (जैसे वोर्म या वायरस) सहित ऑटोमेटेड कोड द्वारा वल्नेरेबिलिटी का लाभ उठाया जा सकता है। || 1.0
|-
|-
| परिभाषित नहीं (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
| नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
|}
|}


'''रेमेडिएशन लेवल'''


==== उपचारात्मक स्तर ====
वल्नेरेबिलिटी का सुधारात्मक लेवल (आरएल) वल्नेरेबिलिटी के टेम्पररी स्कोर को लो करने की अनुमति देता है क्योंकि मिटिगेशन और ऑफिसियल फिक्स उपलब्ध कराए जाते हैं।
भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को न्यून करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| आधिकारिक फिक्स (ओ) || पूर्ण विक्रेता समाधान उपलब्ध है - या तो पैच या अपग्रेड। || 0.87
| ऑफिसियल फिक्स (ओ) || कम्पलीट वेंडर सलूशन उपलब्ध है - या तो पैच या अपग्रेड। || 0.87
|-
|-
| अस्थायी सुधार (टी) || विक्रेता से आधिकारिक लेकिन अस्थायी सुधार/शमन उपलब्ध है। || 0.90
| टेम्पररी फिक्स (टी) || वेंडर से ऑफिसियल किन्तु टेम्पररी फिक्स / मिटिगेशन उपलब्ध है। || 0.90
|-
|-
| समाधान (डब्ल्यू) || अनौपचारिक, गैर-विक्रेता समाधान या शमन उपलब्ध है - शायद प्रभावित उत्पाद या किसी अन्य तृतीय पक्ष के उपयोगकर्ताओं द्वारा विकसित या सुझाया गया हो। || 0.95
| सलूशन (डब्ल्यू) || अनऑफिसियल, नॉन-वेंडर सलूशन या मिटिगेशन उपलब्ध है - संभवतः अफेक्टेड प्रोडक्ट या किसी अन्य तृतीय पक्ष के यूजर द्वारा डेवलप्ड या सजस्ट किया गया हो। || 0.95
|-
|-
| अनुपलब्ध (यू) || कोई समाधान उपलब्ध नहीं है, या सुझाए गए समाधान को प्रारम्भ करना असंभव है। जब भेद्यता की पहचान की जाती है तो यह उपचारात्मक स्तर की सामान्य प्रारंभिक स्थिति होती है। || 1.0
| एनवैलब्ले (यू) || कोई सलूशन उपलब्ध नहीं है, या सजस्ट किये गए सलूशन को प्रारम्भ करना असंभव है। जब वल्नेरेबिलिटी की पहचान की जाती है तो यह रेमेडिएशन लेवल की सामान्य प्रारंभिक कंडीशन होती है। || 1.0
|-
|-
| परिभाषित नहीं (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
| नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
|}
|}


 
==== रिपोर्ट कॉन्फिडेंस ====
==== रिपोर्ट विश्वास ====
वल्नेरेबिलिटी की रिपोर्ट विश्वास (आरसी) वल्नेरेबिलिटी के अस्तित्व में विश्वास के लेवल को मापता है और वल्नेरेबिलिटी के तकनीकी विवरण की विश्वसनीयता को भी मापता है।
भेद्यता की रिपोर्ट विश्वास (आरसी) भेद्यता के अस्तित्व में विश्वास के स्तर को मापता है और भेद्यता के तकनीकी विवरण की विश्वसनीयता को भी मापता है।
{| class="wikitable"
{| class="wikitable"
|-
|-
! मूल्य !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| अपुष्ट (यूसी) || अपुष्ट स्रोत, परस्पर विरोधी स्रोत। अफवाह भेद्यता। || 0.9
| अनकंफर्म्ड (यूसी) || अनकंफर्म्ड सोर्स, मल्टीप्ल कन्फ्लिक्टिंग सोर्स। रउमरेड वल्नेरेबिलिटी। || 0.9
|-
|-
| असंपुष्ट (यूआर) || कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है || 0.95
| अनकरोबोरेटेड (यूआर) || कई सोर्स जो व्यापक रूप से सहमत हैं- वल्नेरेबिलिटी के बारे में शेष अनिश्चितता का लेवल हो सकता है || 0.95
|-
|-
| पुष्टि (सी) || प्रभावित उत्पाद के विक्रेता या निर्माता द्वारा स्वीकार और पुष्टि की गई। || 1.0
| कंफर्म्ड (सी) || अफेक्टेड प्रोडक्ट के वेंडर या manufacturer  द्वारा स्वीकार और कंफर्म्ड की गई। || 1.0
|-
|-
| परिभाषित नहीं (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
| नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
|}
|}


==== गणना ====
==== गणना ====
इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ भेद्यता के लिए अस्थायी स्कोर बनाने के लिए की जाती है।
इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ वल्नेरेबिलिटी के लिए टेम्पररी स्कोर बनाने के लिए की जाती है।


लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:
लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:
Line 239: Line 230:
\textsf{TemporalScore} = \textsf{roundTo1Decimal}(\textsf{BaseScore} \times \textsf{Exploitability} \times \textsf{RemediationLevel} \times \textsf{ReportConfidence})
\textsf{TemporalScore} = \textsf{roundTo1Decimal}(\textsf{BaseScore} \times \textsf{Exploitability} \times \textsf{RemediationLevel} \times \textsf{ReportConfidence})
</math>
</math>
=== उदाहरण ===
=== उदाहरण ===
ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:
ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि वेंडर को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके वल्नेरेबिलिटी के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:
{| class="wikitable"
{| class="wikitable"
|-
|-
! Metric !! महत्व !! विवरण
! मीट्रिक !! वैल्यू !! विवरण
|-
|-
| शोषण || अवधारणा का प्रमाण || बुनियादी शोषण की कार्यक्षमता दिखाने के लिए प्रूफ-ऑफ अवधारणा, गैर-स्वचालित कोड प्रदान किया जाता है।
| एक्सप्लोइटेशन || प्रूफ ऑफ़ कांसेप्ट || बेसिक एक्सप्लोइटेशन की फंक्शनलिटी दिखाने के लिए प्रूफ ऑफ़ कांसेप्ट, नॉन-ऑटोमेटेड कोड प्रदान किया जाता है।
|-
|-
| उपचारात्मक स्तर || अनुपलब्ध ||विक्रेता को अभी तक शमन प्रदान करने या उचित करने का अवसर नहीं मिला है।
| रेमेडिएशन लेवल || एनवैलब्ले ||वेंडर को अभी तक मिटिगेशन प्रदान करने या उचित करने का अवसर नहीं मिला है।
|-
|-
| विश्वास की रिपोर्ट करें || अपुष्ट || भेद्यता की ही रिपोर्ट की गई है
| रिपोर्ट कॉन्फिडेंस || अनकंफर्म्ड || वल्नेरेबिलिटी की ही रिपोर्ट की गई है
|}
|}
यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).
यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का कम्पलीट वेक्टर) के टेम्पररी वेक्टर के साथ 7.3 का टेम्पररी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).


यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।
यदि वेंडर वल्नेरेबिलिटी की कंफर्म्ड करता है, तो ई: पी / आरएल: यू / आरसी: सी के टेम्पररी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।


वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक न्यून कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को उचित कर दिया गया है पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से न्यून नहीं हो सकता है, और यदि भेद्यता के लिए स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।
वेंडर की ओर से टेम्पररी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक लो कर देगा, जबकि ऑफिसियल फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक अफेक्टेड सिस्टम को उचित कर दिया गया है पैच कर दिया गया है, टेम्पररी स्कोर वेंडर के कार्यों के आधार पर निश्चित लेवल से लो नहीं हो सकता है, और यदि वल्नेरेबिलिटी के लिए ऑटोमेटेड एक्सप्लोइटेशन विकसित किया जाता है तो यह बढ़ सकता है।


=== पर्यावरण मेट्रिक्स ===
=== एनवायर्नमेंटल मेट्रिक्स ===
पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग शक्तिहीन उत्पाद या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।
पर्यावरण मेट्रिक्स आधार और वर्तमान टेम्पररी स्कोर का उपयोग वल्नरेबल प्रोडक्ट या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में वल्नेरेबिलिटी की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।


==== संपार्श्विक क्षति संभावित ====
==== कोलैटरल डैमेज पोटेंशियल ====
संपार्श्विक क्षति क्षमता (सीडीपी) मीट्रिक भौतिक संपत्ति जैसे उपकरण (और जीवन) पर संभावित क्षति या प्रभाव को मापता है, यदि भेद्यता का शोषण किया जाता है तो प्रभावित संगठन पर वित्तीय प्रभाव पड़ता है।
कोलैटरल डैमेज पोटेंशियल (सीडीपी) मीट्रिक फिजिकल प्रॉपर्टी जैसे उपकरण (और जीवन) पर पोटेंशियल लोस या इम्पैक्ट को मापता है, यदि वल्नेरेबिलिटी का एक्सप्लोइटेशन किया जाता है तो अफेक्टेड आर्गेनाईजेशन पर फाइनेंसियल इम्पैक्ट पड़ता है।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| कोई नहीं (एन) || संपत्ति, राजस्व या उत्पादकता के क्षति की कोई संभावना नहीं है || 0
| नन (एन) || प्रॉपर्टी, रेवेनुए या प्रोडक्टिविटी के लोस की कोई संभावना नहीं है || 0
|-
|-
| न्यून (एल) || संपत्ति को थोड़ा क्षति, या राजस्व या उत्पादकता का सामान्य क्षति || 0.1
| लो (एल) || प्रॉपर्टी को माइनर लोस, या रेवेनुए या प्रोडक्टिविटी का सामान्य लोस || 0.1
|-
|-
| निम्न-मध्यम (एलएम) || मध्यम क्षति या हानि || 0.3
| लो-मीडियम (एलएम) || मॉडरेट लोस या डैमेज || 0.3
|-
|-
| मध्यम-उच्च (एमएच) || महत्वपूर्ण क्षति या हानि || 0.4
| मीडियम-हाई (एमएच) || सिग्नीफिकेन्ट लोस या डैमेज || 0.4
|-
|-
| उच्च (एच) || विपत्तिपूर्ण क्षति या हानि || 0.5
| हाई (एच) || कटस्ट्रोफिक लोस या डैमेज || 0.5
|-
|-
| परिभाषित नहीं (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 0
| नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 0
|}
|}


 
==== टारगेट डिस्ट्रीब्यूशन ====
==== लक्ष्य वितरण ====
टारगेट डिस्ट्रीब्यूशन (टीडी) मीट्रिक पर्यावरण में वल्नरेबल प्रणालियों के अनुपात को मापता है।
लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में शक्तिहीन प्रणालियों के अनुपात को मापता है।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| कोई नहीं (एन) || कोई लक्ष्य प्रणाली उपस्थित नहीं है, वे एन्यूनात्र प्रयोगशाला सेटिंग में उपस्थित हैं || 0
| नन (एन) || कोई टारगेट सिस्टम उपस्थित नहीं है, वे केवल कुछ लेबोरेटरी सेटिंग में उपस्थित हैं || 0
|-
|-
| न्यून (एल) || 1-25% प्रणाली जोखिम में हैं || 0.25
| लो (एल) || 1-25% सिस्टम रिस्क में हैं || 0.25
|-
|-
| मध्यम (एम) || 26–75% प्रणाली जोखिम में हैं || 0.75
| मीडियम (एम) || 26–75% सिस्टम रिस्क में हैं || 0.75
|-
|-
| उच्च (एच) || 76-100% प्रणाली जोखिम में हैं || 1.0
| हाई (एच) || 76-100% सिस्टम रिस्क में हैं || 1.0
|-
|-
| परिभाषित नहीं (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
| नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
|}
|}


 
==== इम्पैक्ट सब्सकोर मॉडिफाइयर ====
==== इम्पैक्ट सब्सकोर संशोधक ====
तीन और मेट्रिक्स कॉन्फिडेंशियलिटी (सीआर),इंटीग्रिटी (आईआर) और अवेलेबिलिटी (एआर) के लिए स्पेशलिज़्ड सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को यूजर के पर्यावरण के अनुसार किया जा सकता है।
तीन और मेट्रिक्स गोपनीयता (सीआर),अखंडता (आईआर) और उपलब्धता (एआर) के लिए विशिष्ट सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को उपयोगकर्ताओं के पर्यावरण के अनुसार किया जा सकता है।
{| class="wikitable"
{| class="wikitable"
|-
|-
! महत्व !! विवरण !! अंक
! वैल्यू !! विवरण !! अंक
|-
|-
| न्यून (एल) || (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर एन्यूनात्र सीमित प्रभाव पड़ने की संभावना है। || 0.5
| लो (एल) || (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर केवल सीमित प्रभाव पड़ने की संभावना है। || 0.5
|-
|-
| मध्यम (एम) || (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर गंभीर प्रभाव पड़ने की संभावना है। || 1.0
| मीडियम (एम) || (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर गंभीर प्रभाव पड़ने की संभावना है। || 1.0
|-
|-
| उच्च (एच) || (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर विपत्तिपूर्ण प्रभाव पड़ने की संभावना है। || 1.51
| हाई (एच) || (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर कटस्ट्रोफिक प्रभाव पड़ने की संभावना है। || 1.51
|-
|-
| परिभाषित नहीं (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
| नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0
|}
|}


==== गणना ====
==== गणना ====
Line 330: Line 316:
\textsf{EnvironmentalScore} = \textsf{roundTo1Decimal}((\textsf{AdjustedTemporal}+(10-\textsf{AdjustedTemporal}) \times \textsf{CollateralDamagePotential}) \times \textsf{TargetDistribution})
\textsf{EnvironmentalScore} = \textsf{roundTo1Decimal}((\textsf{AdjustedTemporal}+(10-\textsf{AdjustedTemporal}) \times \textsf{CollateralDamagePotential}) \times \textsf{TargetDistribution})
</math>
</math>
=== उदाहरण ===
=== उदाहरण ===
यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:
यदि उपरोक्त वल्नरेबल वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और वेंडर से टेम्पररी फिक्स उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:


{| class="wikitable"
{| class="wikitable"
|-
|-
! मीट्रिक !! महत्व !! विवरण
! मीट्रिक !! वैल्यू !! विवरण
|-
|-
| संपार्श्विक क्षति संभावित || मध्यम ऊँचाई || यह मान इस बात पर निर्भर करेगा कि यदि शक्तिहीन प्रणाली का शोषण किया जाता है तो आक्रमणकारी किस सूचना तक पहुँच प्राप्त कर सकता है। इस स्थिति में, मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
| कोलैटरल डैमेज पोटेंशियल || मीडियम हाई || यह मान इस बात पर निर्भर करेगा कि यदि वल्नरेबल सिस्टम का एक्सप्लोइटेशन किया जाता है तो अटैककर्स किस इनफार्मेशन तक एक्सेस प्राप्त कर सकता है। इस कंडीशन में, मैं मान रहा हूं कि कुछ पर्सनल बैंकिंग इनफार्मेशन उपलब्ध है, इसलिए बैंक पर सिग्नीफिकेन्ट प्रतिष्ठात्मक इम्पैक्ट है।
|-
|-
| लक्ष्य वितरण || उच्च || बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
| टारगेट डिस्ट्रीब्यूशन || हाई || बैंक के सभी वेब सर्वर वल्नरेबल सॉफ़्टवेयर चलाते हैं।
|-
|-
| गोपनीयता की आवश्यकता || उच्च || ग्राहक अपेक्षा करते हैं कि उनकी बैंकिंग जानकारी गोपनीय होगी।
| कॉन्फिडेंशियलिटी की आवश्यकता || हाई || कस्टमर अपेक्षा करते हैं कि उनकी बैंकिंग इनफार्मेशन गोपनीय होगी।
|-
|-
| अखंडता की आवश्यकता || उच्च || प्राधिकरण के बिना वित्तीय और व्यक्तिगत जानकारी बदलने योग्य नहीं होनी चाहिए।
| इंटीग्रिटी की आवश्यकता || हाई || अथॉरिटी के बिना फाइनेंसियल और पर्सनल इनफार्मेशन परिवर्तित करने योग्य नहीं होनी चाहिए।
|-
|-
| उपलब्धता की आवश्यकता || न्यून || ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से ग्राहकों को असुविधा हो सकती है, लेकिन विनाशकारी नहीं।
| अवेलेबिलिटी की आवश्यकता || लो || ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से कस्टमर को असुविधा हो सकती है, किन्तु कटस्ट्रोफिक नहीं।
|}
|}
यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में महत्वपूर्ण भेद्यता है।
यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए अफेक्टेड बैंक के व्यवसाय के संदर्भ में सिग्नीफिकेन्ट वल्नेरेबिलिटी है।


संस्करण 2 की आलोचना
वर्जन 2 की आलोचना


कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।
कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।


जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2"><nowiki>{{cite web|url=</nowiki>http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की शक्तिहीनियों को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग प्रणाली को भेद्यता के त्रुटिहीन प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
रिस्क आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2"><nowiki>{{cite web|url=</nowiki>http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और रिस्क प्रोफाइल की वुलनेराबिलिटीज़ को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को वल्नेरेबिलिटी के त्रुटिहीन इम्पैक्ट के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।


आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य प्रस्तुत किया।<ref name="oracle_partialplus">{{cite web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html |title=सीवीएसएस स्कोरिंग सिस्टम|publisher=Oracle |date=2010-06-01 |accessdate=2015-11-15}}</ref>
ऑफिसियल सीवीएसएस विनिर्देशों में पार्शियल और कम्पलीट के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के लिए पार्शियल + का नया मीट्रिक मूल्य प्रस्तुत किया।<ref name="oracle_partialplus">{{cite web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html |title=सीवीएसएस स्कोरिंग सिस्टम|publisher=Oracle |date=2010-06-01 |accessdate=2015-11-15}}</ref>


== संस्करण 3 ==
== वर्जन 3 ==
इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस संस्करण 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।<ref name="cvssv3.0_specs">{{cite web|url=https://www.first.org/cvss/specification-document |title=CVSS v3,.0 विशिष्टता दस्तावेज़|publisher=FIRST, Inc. |date= |accessdate=2015-11-15}}</ref>
इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस वर्जन 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।<ref name="cvssv3.0_specs">{{cite web|url=https://www.first.org/cvss/specification-document |title=CVSS v3,.0 विशिष्टता दस्तावेज़|publisher=FIRST, Inc. |date= |accessdate=2015-11-15}}</ref>


कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), न्यून (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग<ref name="cvss3.0_severities">{{cite web |url=https://www.first.org/cvss/specification-document#i5 |title=सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)|author=<!--Staff writer(s); no by-line.--> |publisher=First.org |accessdate=2016-01-10}}</ref> को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे
कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), लो (0.1-3.9), मीडियम (4.0-6.9), हाई (7.0-8.9), और सीरियस (9.0-10.0) की शाब्दिक गंभीरता रेटिंग<ref name="cvss3.0_severities">{{cite web |url=https://www.first.org/cvss/specification-document#i5 |title=सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)|author=<!--Staff writer(s); no by-line.--> |publisher=First.org |accessdate=2016-01-10}}</ref> को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे
.<ref name="nist_ranges">{{cite web |url=http://nvd.nist.gov/cvss.cfm |title=NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2|author=<!--Staff writer(s); no by-line.--> |work=National Vulnerability Database |publisher=National Institute of Standards and Technology |accessdate=March 2, 2013}}</ref>
.<ref name="nist_ranges">{{cite web |url=http://nvd.nist.gov/cvss.cfm |title=NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2|author=<!--Staff writer(s); no by-line.--> |work=National Vulnerability Database |publisher=National Institute of Standards and Technology |accessdate=March 2, 2013}}</ref>


===संस्करण 2 से परिवर्तन===
===वर्जन 2 से परिवर्तन===


==== बेस मेट्रिक्स ====
==== बेस मेट्रिक्स ====
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को शक्तिहीनियों को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन शक्तिहीनियों का लाभ उठाया जा सकता है और फिर प्रणाली या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को वुलनेराबिलिटीज़ को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन वुलनेराबिलिटीज़ का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर अटैकएड करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही वल्नेरेबिलिटी के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।


गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को सीवीएसएसv2 के आंशिक, पूर्ण के स्थान पर कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी (C, I, A) मेट्रिक्स को सीवीएसएसv2 के पार्शियल, कम्पलीट के स्थान पर कोई नहीं, लो, या हाई स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर वल्नेरेबिलिटी के इम्पैक्ट को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।


एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है यदि आक्रमणकारी को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।
एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस वल्नेरेबिलिटी का दोहराए जाने योग्य एक्सप्लोइटेशन कैसे हो सकता है; एसी हाई है यदि अटैककर्स को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।


अटैक वेक्टर (एवी) ने उन शक्तिहीनियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या प्रणाली तक भौतिक पहुंच की आवश्यकता होती है।
अटैक वेक्टर (एवी) ने उन वुलनेराबिलिटीज़ का वर्णन करने के लिए फिजिकल (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें परफॉरमेंस करने के लिए डिवाइस या सिस्टम तक फिजिकल एक्सेस की आवश्यकता होती है।


टेम्पोरल मेट्रिक्स  
'''टेम्पोरल मेट्रिक्स'''


टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।
टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।


==== पर्यावरण मेट्रिक्स ====
==== एनवायर्नमेंटल मेट्रिक्स ====
सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है।
सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ परिवर्तित कर दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी आर्गेनाईजेशन या कंपनी के भीतर अंतर को दर्शाना है। स्पेशलिज़्ड वातावरण में कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के वैल्यू को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है।


===संस्करण 3 की आलोचना===
===वर्जन 3 की आलोचना===
सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में शक्तिहीनियों को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>
सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में वुलनेराबिलिटीज़ को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref>


== संस्करण 3.1 ==
== वर्जन 3.1 ==
सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में सुधार करते हैं।
सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस वर्जन 3.1 का टारगेट नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस वर्जन 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में फिक्स करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में फिक्स करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में फिक्स करते हैं।


फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही शक्तिहीनियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई भिन्न-भिन्न निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता होते है।
फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही वुलनेराबिलिटीज़, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक टारगेट कई भिन्न-भिन्न निर्वाचन क्षेत्रों में वल्नेरेबिलिटी की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को रिस्क, उपचार और मिटिगेशन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और रिस्क सहिष्णुता होते है।


सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।
सीवीएसएस वर्जन 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, प्रिविलेज आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को ऑफिसियल आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि कॉन्फिडेंशियलिटी, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस वर्जन 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।


== दत्तक ग्रहण ==
== एडॉप्शन ==
सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा शक्तिहीनियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:
सीवीएसएस के वर्जनों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा वल्नेरेबिलिटी की सेवरिटी को मापने के लिए प्राइमरी मेथड के रूप में स्वीकार किया गया है, जिनमें लो सम्मिलित हैं:
* [[राष्ट्रीय भेद्यता डेटाबेस]] (एनवीडी)<ref name="nvdb_main">{{cite web|url=http://nvd.nist.gov/home.cfm |title=राष्ट्रीय भेद्यता डेटाबेस होम|publisher=Nvd.nist.gov |date= |accessdate=2013-04-16}}</ref>
* [[राष्ट्रीय भेद्यता डेटाबेस|नेशनल वल्नेरेबिलिटी डेटाबेस]] (एनवीडी)<ref name="nvdb_main">{{cite web|url=http://nvd.nist.gov/home.cfm |title=राष्ट्रीय भेद्यता डेटाबेस होम|publisher=Nvd.nist.gov |date= |accessdate=2013-04-16}}</ref>
* [[ओपन सोर्स भेद्यता डेटाबेस]] (ओएसवीडीबी)<ref name="osvdb_main">{{cite web|url=http://www.osvdb.org/ |title=ओपन सोर्स भेद्यता डेटाबेस|publisher=OSVDB |date= |accessdate=2013-04-16}}</ref>
* [[ओपन सोर्स भेद्यता डेटाबेस|ओपन सोर्स वल्नेरेबिलिटी डेटाबेस]] (ओएसवीडीबी)<ref name="osvdb_main">{{cite web|url=http://www.osvdb.org/ |title=ओपन सोर्स भेद्यता डेटाबेस|publisher=OSVDB |date= |accessdate=2013-04-16}}</ref>
* सीईआरटी समन्वय केंद्र,<ref name="cert_uses_cvss">{{cite web|url=https://insights.sei.cmu.edu/cert/2012/04/-vulnerability-severity-using-cvss.html |title=सीवीएसएस का उपयोग कर भेद्यता गंभीरता|publisher=CERT Coordination Center |date=2012-04-12 |accessdate=2015-11-15}}</ref> जो विशेष रूप से सीवीएसएसv2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है
* सीईआरटी कोआर्डिनेशन सेण्टर,<ref name="cert_uses_cvss">{{cite web|url=https://insights.sei.cmu.edu/cert/2012/04/-vulnerability-severity-using-cvss.html |title=सीवीएसएस का उपयोग कर भेद्यता गंभीरता|publisher=CERT Coordination Center |date=2012-04-12 |accessdate=2015-11-15}}</ref> जो विशेष रूप से सीवीएसएस v2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है।


== यह भी देखें ==
== यह भी देखें ==
*सामान्य शक्तिहीनी गणना (सीडब्ल्यूई)
*कॉमन वीकनेस एनयूमेरशन (सीडब्ल्यूई)
*सामान्य भेद्यताएं और जोखिम (सीवीई)
*कॉमन वल्नेरेबिलिटी और एक्सपोज़र्स (सीवीई)
*आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)
*कॉमन अटैक पैटर्न एनयूमेरशन और क्लासिफिकेशन (सीएपीईसी)


==संदर्भ==
==संदर्भ==
Line 412: Line 396:
*[http://nvd.nist.gov/cvss.cfm National Vulnerability Database (NVD) सीवीएसएस site]
*[http://nvd.nist.gov/cvss.cfm National Vulnerability Database (NVD) सीवीएसएस site]
*[http://nvd.nist.gov/cvss.cfm?calculator&version=2 Common Vulnerability Scoring System v2 Calculator]
*[http://nvd.nist.gov/cvss.cfm?calculator&version=2 Common Vulnerability Scoring System v2 Calculator]
[[Category: कंप्यूटर सुरक्षा मानक]] [[Category: कंप्यूटर नेटवर्क सुरक्षा]]
{{MITRE security ontologies}}


[[Category: Machine Translated Page]]
[[Category:Collapse templates]]
[[Category:Created On 02/05/2023]]
[[Category:Created On 02/05/2023]]
[[Category:Lua-based templates]]
[[Category:Machine Translated Page]]
[[Category:Navigational boxes| ]]
[[Category:Navigational boxes without horizontal lists]]
[[Category:Pages with script errors]]
[[Category:Short description with empty Wikidata description]]
[[Category:Sidebars with styles needing conversion]]
[[Category:Template documentation pages|Documentation/doc]]
[[Category:Templates Vigyan Ready]]
[[Category:Templates generating microformats]]
[[Category:Templates that add a tracking category]]
[[Category:Templates that are not mobile friendly]]
[[Category:Templates that generate short descriptions]]
[[Category:Templates using TemplateData]]
[[Category:Wikipedia metatemplates]]
[[Category:कंप्यूटर नेटवर्क सुरक्षा]]
[[Category:कंप्यूटर सुरक्षा मानक]]

Latest revision as of 11:50, 16 October 2023

कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सिक्योरिटी वल्नेरेबिलिटी (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए फ्री और ओपन इंडस्ट्री स्टैण्डर्ड है। सीवीएसएस वल्नेरेबिलिटी के लिए सेवरिटी स्कोर निर्दिष्ट करने का प्रयास करता है, जिससे रेस्पॉन्डर्स को थ्रेट के अनुसार रेस्पॉन्सेस और रिसोर्सेज को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी एक्सप्लॉइट की सरलता और इम्पैक्ट का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे सीरियस होता है। जबकि कई लोग सेवरिटी का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं,, टेम्पोरल और एनवायर्नमेंटल स्कोर भी उपस्थित होते हैं, जो क्रमशः मिटिगेशंस की अवेलेबिलिटी और आर्गेनाईजेशन के भीतर व्यापक रूप से कितने वल्नरेबल सिस्टम्स उपस्थित हैं इसका ध्यान में रखते हैं।

सीवीएसएस (सीवीएसएसवी 3.1) का वर्तमान वर्जन जून 2019 में प्रस्तावित किया गया था।[1]

इतिहास

2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के टारगेट के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।[3][4]

उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ सिग्नीफिकेन्ट मुद्दे थे। सीवीएसएस वर्जन 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।[5]

आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस वर्जन 3 पर कार्य प्रारंभ हुआ[6] 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।[2][7]

शब्दावली

सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:

1. वल्नेरेबिलिटी के आंतरिक गुणों के लिए बेस मेट्रिक्स

2. वल्नेरेबिलिटी के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स

3. वुलनेराबिलिटीज़ के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

वर्जन 2

सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है।[8] नीचे सारांश दिया गया है।

बेस मेट्रिक्स

एक्सेस वेक्टर

एक्सेस वेक्टर (एवी) दिखाता है कि वल्नेरेबिलिटी का एक्सप्लोइटेशन कैसे किया जा सकता है।

वैल्यू विवरण अंक
लोकल (एल) अटैककर्स के निकट या तो वल्नरेबल सिस्टम (जैसे फायरवायर अटैककर्स) या लोकल अकाउंट (जैसे प्रिविलेज एस्कालेशन अटैककर्स) तक फिजिकल एक्सेस होना चाहिए। 0.395
अदजसेंट नेटवर्क (ए) अटैककर्स के निकट वल्नरेबल सिस्टम के बोर्डकास्ट या कोलिजन डोमेन तक एक्सेस होना चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ अटैककर्स)। 0.646
नेटवर्क (एन) वल्नरेबल इंटरफ़ेस ओएसआई नेटवर्क स्टैक की लेयर 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की वुलनेराबिलिटीज़ को अधिकांशतः ओवरफ्लो से एक्सप्लोइटेबल के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सर्विस में ओवरफ्लो बफर रिमोट) 1.0

एक्सेस कम्प्लेक्सिटी

एक्सेस कम्प्लेक्सिटी (एसी) मीट्रिक बताती है कि अनुसंधान गई वल्नेरेबिलिटी का लाभ उठाना कितना आसान या कठिन है।

वैल्यू विवरण अंक
हाई (एच) स्पेशलिज़्ड कंडीशन उपस्थित हैं, जैसे नैरो विंडो के साथ रेस की कंडीशन, या सोशल इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा सरलता से देखी जा सकती है। 0.35
मीडियम (एम) अटैककर्स के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे अटैककर्स की उत्पत्ति पर सीमा, अनकॉमन, नॉन-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ वल्नरेबल सिस्टम के चलने की आवश्यकता। 0.61
लो (एल) वल्नेरेबिलिटी का एक्सप्लोइटिंग करने के लिए कोई विशेष कंडीशन नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में यूजर के लिए उपलब्ध हो, या वल्नरेबल कॉन्फ़िगरेशन यूबीक्विटोस हो। 0.71

ऑथेंटिकेशन

ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब अटैककर्स को टारगेट का लाभ उठाने के लिए उसे ऑथेंटिकेट करना होता है। इसमें (उदाहरण के लिए) एक्सेस प्राप्त करने के लिए किसी नेटवर्क का ऑथेंटिकेशन सम्मिलित नहीं है। लोकल रूप से एक्सप्लोइटेबल वुलनेराबिलिटीज़ के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक एक्सेस के बाद और ऑथेंटिकेशन की आवश्यकता हो।

वैल्यू विवरण अंक
मल्टीप्ल (एम) वल्नेरेबिलिटी के एक्सप्लोइटेशन के लिए आवश्यक है कि अटैककर्स दो या अधिक बार ऑथेंटिकेट करे, भले ही समान क्रेडेंशियल्स का उपयोग किया जाए। 0.45
सिंगल (एस) वल्नेरेबिलिटी का लाभ उठाने के लिए अटैककर्स को ऑथेंटिकेट करना होगा। 0.56
नन (एन) अटैककर्स को ऑथेंटिकेट करने की कोई आवश्यकता नहीं है। 0.704

इम्पैक्ट मेट्रिक्स

कॉन्फिडेंशियलिटी

कॉन्फिडेंशियलिटी (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की कॉन्फिडेंशियलिटी पर इम्पैक्ट का वर्णन करता है।

वैल्यू विवरण अंक
नन (एन) सिस्टम की कॉन्फिडेंशियलिटी पर कोई इम्पैक्ट नहीं पड़ता है। 0.0
पार्शियल (पी) इनफार्मेशन का अधिक डिसक्लोस्जर हुई है, किन्तु डैमेज की सीमा इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं। 0.275
कम्पलीट (सी) सिस्टम पर किसी भी / सभी डेटा तक एक्सेस प्रदान करने के लिए कुल इनफार्मेशन डिसक्लोस्जर है। वैकल्पिक रूप से, केवल कुछ रिस्ट्रिक्टेड इनफार्मेशन तक ही एक्सेस प्राप्त की जाती है, किन्तु प्रकट की गई इनफार्मेशन डायरेक्ट, सीरियस इम्पैक्ट प्रस्तुत करती है। 0.660

इंटीग्रिटी

इंटीग्रिटी (I) मीट्रिक शोषित सिस्टम की इंटीग्रिटी पर इम्पैक्ट का वर्णन करता है।

वैल्यू विवरण अंक
नन (एन) सिस्टम की इंटीग्रिटी पर कोई इम्पैक्ट नहीं पड़ता है। 0.0
पार्शियल (पी) कुछ डेटा या सिस्टम फ़ाइलों का मॉडिफिकेशन संभव है, किन्तु मॉडिफिकेशन का स्कोप सीमित है। 0.275
कम्पलीट (सी) इंटीग्रिटी का कुल लोस होता है; अटैककर्स टारगेट सिस्टम पर किसी भी फाइल या इनफार्मेशन को संशोधित कर सकता है। 0.660


अवेलेबिलिटी

अवेलेबिलिटी (ए) मीट्रिक टारगेट सिस्टम की अवेलेबिलिटी पर इम्पैक्ट का वर्णन करती है। अटैककर्स जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य रिसोर्स का उपभोग करते हैं, सिस्टम की अवेलेबिलिटी को अफेक्टेड करते हैं।

वैल्यू विवरण अंक
नन (एन) सिस्टम की अवेलेबिलिटी पर कोई इम्पैक्ट नहीं पड़ता है। 0.0
पार्शियल (पी) परफॉरमेंस लो हो ई है या कुछ फंक्शनलिटी भी लो गई है। 0.275
कम्पलीट (सी) अटैकएड किए गए रिसोर्स की अवेलेबिलिटी का कुल लोस हुआ है। 0.660


गणना

इन छह मेट्रिक्स का उपयोग एक्सप्लोइटेशन क्षमता की गणना करने और वल्नेरेबिलिटी के उप-स्कोर को अफेक्टेड करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

वल्नेरेबिलिटी के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण

बफर ओवरफ्लो वल्नेरेबिलिटी वेब सर्वर सॉफ़्टवेयर को अफेक्टेड करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का पार्शियल नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे शटिंग करने की क्षमता भी सम्मिलित है:

मेट्रिक वैल्यू विवरण
एक्सेस वेक्टर नेटवर्क वल्नेरेबिलिटी को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो टारगेट सिस्टम तक एक्सेस सकता है - सामान्यतः संपूर्ण इंटरनेट
एक्सेस कोम्प्लेक्सिटी लो एक्सेस के लिए कोई विशेष आवश्यकताएँ नहीं हैं
ऑथेंटिकेशन नन वल्नेरेबिलिटी का लाभ उठाने के लिए ऑथेंटिकेशन की कोई आवश्यकता नहीं है
कॉन्फिडेंशियलिटी पार्शियल अटैककर्स सिस्टम पर उपस्थित कुछ फाइलों और डेटा को रीड कर सकता है
इंटीग्रिटी पार्शियल अटैककर्स सिस्टम पर कुछ फाइलों और डेटा को परिवर्तित कर सकता है
अवेलेबिलिटी कम्पलीट अटैककर्स सिस्टम को शटिंग करके सिस्टम और वेब सर्विस को एनवैलब्ले / अनरेस्पोंसिव बना सकता है

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का एक्सप्लोइटेबल उप-स्कोर और 8.5 का इम्पैक्ट उप-स्कोर देगा।

इस कंडीशन में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता वल्नेरेबिलिटी की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स का मूल्य वल्नेरेबिलिटी के जीवनकाल में परिवर्तित कर जाता है, क्योंकि एक्सप्लोइटेशन विकसित, सारांश और ऑटोमेटेड होता है और जैसे ही मिटिगेशन और फिक्स उपलब्ध होते हैं।

एक्सप्लोइटाबिलिटी

एक्सप्लोइटेशन क्षमता (ई) मीट्रिक एक्सप्लोइटेशन तकनीकों या ऑटोमेटेड एक्सप्लोइटेशन कोड की वर्तमान कंडीशन का वर्णन करती है।

वैल्यू विवरण अंक
अनप्रोवेन (यू) कोई एक्सप्लोइटेशन कोड उपलब्ध नहीं है, या एक्सप्लोइटेशन थ्योरेटिकल है 0.85
प्रूफ ऑफ़ कांसेप्ट (पी) प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लोइटेशन कोड या परफॉरमेंस अटैककर्स उपलब्ध हैं, किन्तु व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। वल्नेरेबिलिटी के सभी उदाहरणों के अगेंस्ट फंक्शनल नहीं है। 0.9
फंक्शनल (एफ) फंक्शनल एक्सप्लोइटेशन कोड उपलब्ध है, और अधिकांश स्थितियों में कार्यकरता है जहां वल्नेरेबिलिटी उपस्थित है। 0.95
हाई (एच) मोबाइल कोड (जैसे वोर्म या वायरस) सहित ऑटोमेटेड कोड द्वारा वल्नेरेबिलिटी का लाभ उठाया जा सकता है। 1.0
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

रेमेडिएशन लेवल

वल्नेरेबिलिटी का सुधारात्मक लेवल (आरएल) वल्नेरेबिलिटी के टेम्पररी स्कोर को लो करने की अनुमति देता है क्योंकि मिटिगेशन और ऑफिसियल फिक्स उपलब्ध कराए जाते हैं।

वैल्यू विवरण अंक
ऑफिसियल फिक्स (ओ) कम्पलीट वेंडर सलूशन उपलब्ध है - या तो पैच या अपग्रेड। 0.87
टेम्पररी फिक्स (टी) वेंडर से ऑफिसियल किन्तु टेम्पररी फिक्स / मिटिगेशन उपलब्ध है। 0.90
सलूशन (डब्ल्यू) अनऑफिसियल, नॉन-वेंडर सलूशन या मिटिगेशन उपलब्ध है - संभवतः अफेक्टेड प्रोडक्ट या किसी अन्य तृतीय पक्ष के यूजर द्वारा डेवलप्ड या सजस्ट किया गया हो। 0.95
एनवैलब्ले (यू) कोई सलूशन उपलब्ध नहीं है, या सजस्ट किये गए सलूशन को प्रारम्भ करना असंभव है। जब वल्नेरेबिलिटी की पहचान की जाती है तो यह रेमेडिएशन लेवल की सामान्य प्रारंभिक कंडीशन होती है। 1.0
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

रिपोर्ट कॉन्फिडेंस

वल्नेरेबिलिटी की रिपोर्ट विश्वास (आरसी) वल्नेरेबिलिटी के अस्तित्व में विश्वास के लेवल को मापता है और वल्नेरेबिलिटी के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

वैल्यू विवरण अंक
अनकंफर्म्ड (यूसी) अनकंफर्म्ड सोर्स, मल्टीप्ल कन्फ्लिक्टिंग सोर्स। रउमरेड वल्नेरेबिलिटी। 0.9
अनकरोबोरेटेड (यूआर) कई सोर्स जो व्यापक रूप से सहमत हैं- वल्नेरेबिलिटी के बारे में शेष अनिश्चितता का लेवल हो सकता है 0.95
कंफर्म्ड (सी) अफेक्टेड प्रोडक्ट के वेंडर या manufacturer द्वारा स्वीकार और कंफर्म्ड की गई। 1.0
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

गणना

इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ वल्नेरेबिलिटी के लिए टेम्पररी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:

उदाहरण

ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि वेंडर को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके वल्नेरेबिलिटी के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:

मीट्रिक वैल्यू विवरण
एक्सप्लोइटेशन प्रूफ ऑफ़ कांसेप्ट बेसिक एक्सप्लोइटेशन की फंक्शनलिटी दिखाने के लिए प्रूफ ऑफ़ कांसेप्ट, नॉन-ऑटोमेटेड कोड प्रदान किया जाता है।
रेमेडिएशन लेवल एनवैलब्ले वेंडर को अभी तक मिटिगेशन प्रदान करने या उचित करने का अवसर नहीं मिला है।
रिपोर्ट कॉन्फिडेंस अनकंफर्म्ड वल्नेरेबिलिटी की ही रिपोर्ट की गई है

यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का कम्पलीट वेक्टर) के टेम्पररी वेक्टर के साथ 7.3 का टेम्पररी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि वेंडर वल्नेरेबिलिटी की कंफर्म्ड करता है, तो ई: पी / आरएल: यू / आरसी: सी के टेम्पररी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से टेम्पररी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक लो कर देगा, जबकि ऑफिसियल फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक अफेक्टेड सिस्टम को उचित कर दिया गया है पैच कर दिया गया है, टेम्पररी स्कोर वेंडर के कार्यों के आधार पर निश्चित लेवल से लो नहीं हो सकता है, और यदि वल्नेरेबिलिटी के लिए ऑटोमेटेड एक्सप्लोइटेशन विकसित किया जाता है तो यह बढ़ सकता है।

एनवायर्नमेंटल मेट्रिक्स

पर्यावरण मेट्रिक्स आधार और वर्तमान टेम्पररी स्कोर का उपयोग वल्नरेबल प्रोडक्ट या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में वल्नेरेबिलिटी की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।

कोलैटरल डैमेज पोटेंशियल

कोलैटरल डैमेज पोटेंशियल (सीडीपी) मीट्रिक फिजिकल प्रॉपर्टी जैसे उपकरण (और जीवन) पर पोटेंशियल लोस या इम्पैक्ट को मापता है, यदि वल्नेरेबिलिटी का एक्सप्लोइटेशन किया जाता है तो अफेक्टेड आर्गेनाईजेशन पर फाइनेंसियल इम्पैक्ट पड़ता है।

वैल्यू विवरण अंक
नन (एन) प्रॉपर्टी, रेवेनुए या प्रोडक्टिविटी के लोस की कोई संभावना नहीं है 0
लो (एल) प्रॉपर्टी को माइनर लोस, या रेवेनुए या प्रोडक्टिविटी का सामान्य लोस 0.1
लो-मीडियम (एलएम) मॉडरेट लोस या डैमेज 0.3
मीडियम-हाई (एमएच) सिग्नीफिकेन्ट लोस या डैमेज 0.4
हाई (एच) कटस्ट्रोफिक लोस या डैमेज 0.5
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 0

टारगेट डिस्ट्रीब्यूशन

टारगेट डिस्ट्रीब्यूशन (टीडी) मीट्रिक पर्यावरण में वल्नरेबल प्रणालियों के अनुपात को मापता है।

वैल्यू विवरण अंक
नन (एन) कोई टारगेट सिस्टम उपस्थित नहीं है, वे केवल कुछ लेबोरेटरी सेटिंग में उपस्थित हैं 0
लो (एल) 1-25% सिस्टम रिस्क में हैं 0.25
मीडियम (एम) 26–75% सिस्टम रिस्क में हैं 0.75
हाई (एच) 76-100% सिस्टम रिस्क में हैं 1.0
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

इम्पैक्ट सब्सकोर मॉडिफाइयर

तीन और मेट्रिक्स कॉन्फिडेंशियलिटी (सीआर),इंटीग्रिटी (आईआर) और अवेलेबिलिटी (एआर) के लिए स्पेशलिज़्ड सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को यूजर के पर्यावरण के अनुसार किया जा सकता है।

वैल्यू विवरण अंक
लो (एल) (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर केवल सीमित प्रभाव पड़ने की संभावना है। 0.5
मीडियम (एम) (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर गंभीर प्रभाव पड़ने की संभावना है। 1.0
हाई (एच) (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर कटस्ट्रोफिक प्रभाव पड़ने की संभावना है। 1.51
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

गणना

पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पूर्व से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।

उदाहरण

यदि उपरोक्त वल्नरेबल वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और वेंडर से टेम्पररी फिक्स उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

मीट्रिक वैल्यू विवरण
कोलैटरल डैमेज पोटेंशियल मीडियम हाई यह मान इस बात पर निर्भर करेगा कि यदि वल्नरेबल सिस्टम का एक्सप्लोइटेशन किया जाता है तो अटैककर्स किस इनफार्मेशन तक एक्सेस प्राप्त कर सकता है। इस कंडीशन में, मैं मान रहा हूं कि कुछ पर्सनल बैंकिंग इनफार्मेशन उपलब्ध है, इसलिए बैंक पर सिग्नीफिकेन्ट प्रतिष्ठात्मक इम्पैक्ट है।
टारगेट डिस्ट्रीब्यूशन हाई बैंक के सभी वेब सर्वर वल्नरेबल सॉफ़्टवेयर चलाते हैं।
कॉन्फिडेंशियलिटी की आवश्यकता हाई कस्टमर अपेक्षा करते हैं कि उनकी बैंकिंग इनफार्मेशन गोपनीय होगी।
इंटीग्रिटी की आवश्यकता हाई अथॉरिटी के बिना फाइनेंसियल और पर्सनल इनफार्मेशन परिवर्तित करने योग्य नहीं होनी चाहिए।
अवेलेबिलिटी की आवश्यकता लो ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से कस्टमर को असुविधा हो सकती है, किन्तु कटस्ट्रोफिक नहीं।

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए अफेक्टेड बैंक के व्यवसाय के संदर्भ में सिग्नीफिकेन्ट वल्नेरेबिलिटी है।

वर्जन 2 की आलोचना

कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।

रिस्क आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और रिस्क प्रोफाइल की वुलनेराबिलिटीज़ को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को वल्नेरेबिलिटी के त्रुटिहीन इम्पैक्ट के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

ऑफिसियल सीवीएसएस विनिर्देशों में पार्शियल और कम्पलीट के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के लिए पार्शियल + का नया मीट्रिक मूल्य प्रस्तुत किया।[10]

वर्जन 3

इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस वर्जन 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।[11]

कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), लो (0.1-3.9), मीडियम (4.0-6.9), हाई (7.0-8.9), और सीरियस (9.0-10.0) की शाब्दिक गंभीरता रेटिंग[12] को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे .[13]

वर्जन 2 से परिवर्तन

बेस मेट्रिक्स

बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को वुलनेराबिलिटीज़ को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन वुलनेराबिलिटीज़ का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर अटैकएड करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही वल्नेरेबिलिटी के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी (C, I, A) मेट्रिक्स को सीवीएसएसv2 के पार्शियल, कम्पलीट के स्थान पर कोई नहीं, लो, या हाई स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर वल्नेरेबिलिटी के इम्पैक्ट को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस वल्नेरेबिलिटी का दोहराए जाने योग्य एक्सप्लोइटेशन कैसे हो सकता है; एसी हाई है यदि अटैककर्स को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन वुलनेराबिलिटीज़ का वर्णन करने के लिए फिजिकल (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें परफॉरमेंस करने के लिए डिवाइस या सिस्टम तक फिजिकल एक्सेस की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।

एनवायर्नमेंटल मेट्रिक्स

सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ परिवर्तित कर दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी आर्गेनाईजेशन या कंपनी के भीतर अंतर को दर्शाना है। स्पेशलिज़्ड वातावरण में कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के वैल्यू को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है।

वर्जन 3 की आलोचना

सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में वुलनेराबिलिटीज़ को स्कोर करने में किया जाता है।[14]

वर्जन 3.1

सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस वर्जन 3.1 का टारगेट नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस वर्जन 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में फिक्स करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में फिक्स करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में फिक्स करते हैं।

फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही वुलनेराबिलिटीज़, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक टारगेट कई भिन्न-भिन्न निर्वाचन क्षेत्रों में वल्नेरेबिलिटी की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को रिस्क, उपचार और मिटिगेशन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और रिस्क सहिष्णुता होते है।

सीवीएसएस वर्जन 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, प्रिविलेज आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को ऑफिसियल आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि कॉन्फिडेंशियलिटी, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस वर्जन 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

एडॉप्शन

सीवीएसएस के वर्जनों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा वल्नेरेबिलिटी की सेवरिटी को मापने के लिए प्राइमरी मेथड के रूप में स्वीकार किया गया है, जिनमें लो सम्मिलित हैं:

यह भी देखें

  • कॉमन वीकनेस एनयूमेरशन (सीडब्ल्यूई)
  • कॉमन वल्नेरेबिलिटी और एक्सपोज़र्स (सीवीई)
  • कॉमन अटैक पैटर्न एनयूमेरशन और क्लासिफिकेशन (सीएपीईसी)

संदर्भ

  1. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  2. 2.0 2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
  3. "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
  4. "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18. MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
  5. "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
  6. "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
  7. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  8. "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
  9. {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
  10. "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
  11. "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
  12. "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
  13. "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
  14. "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
  15. "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
  16. "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
  17. "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.


बाहरी संबंध