कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम: Difference between revisions
No edit summary |
No edit summary |
||
(11 intermediate revisions by 5 users not shown) | |||
Line 1: | Line 1: | ||
{{Short description|Standard for assessing computer system vulnerabilities}} | {{Short description|Standard for assessing computer system vulnerabilities}}'''कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम''' (सीवीएसएस) [[कंप्यूटर सुरक्षा|कंप्यूटर सिक्योरिटी]] [[भेद्यता (कंप्यूटिंग)|वल्नेरेबिलिटी (कंप्यूटिंग)]] की गंभीरता का आकलन करने के लिए फ्री और [[खुला मानक|ओपन]] [[तकनीकी मानक|इंडस्ट्री स्टैण्डर्ड]] है। सीवीएसएस वल्नेरेबिलिटी के लिए सेवरिटी स्कोर निर्दिष्ट करने का प्रयास करता है, जिससे रेस्पॉन्डर्स को थ्रेट के अनुसार रेस्पॉन्सेस और रिसोर्सेज को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई [[सॉफ्टवेयर मीट्रिक]] पर निर्भर करता है जो किसी एक्सप्लॉइट की सरलता और इम्पैक्ट का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे सीरियस होता है। जबकि कई लोग सेवरिटी का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं,, टेम्पोरल और एनवायर्नमेंटल स्कोर भी उपस्थित होते हैं, जो क्रमशः मिटिगेशंस की अवेलेबिलिटी और आर्गेनाईजेशन के भीतर व्यापक रूप से कितने वल्नरेबल सिस्टम्स उपस्थित हैं इसका ध्यान में रखते हैं। | ||
सीवीएसएस (सीवीएसएसवी 3.1) का वर्तमान वर्जन जून 2019 में प्रस्तावित किया गया था।<ref name="cvss3.1">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref> | |||
{{toclimit|3}} | {{toclimit|3}} | ||
== इतिहास == | == इतिहास == | ||
2003/2004 में [[राष्ट्रीय अवसंरचना सलाहकार परिषद]] ( | 2003/2004 में [[राष्ट्रीय अवसंरचना सलाहकार परिषद]] (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।<ref name=":0">{{Cite journal |last1=Johnson |first1=Pontus |last2=Lagerstrom |first2=Robert |last3=Ekstedt |first3=Mathias |last4=Franke |first4=Ulrik |date=2018-11-01 |title=Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis |url=https://ieeexplore.ieee.org/document/7797152 |journal=IEEE Transactions on Dependable and Secure Computing |volume=15 |issue=6 |pages=1002–1015 |doi=10.1109/TDSC.2016.2644614 |s2cid=53287880 |issn=1545-5971}}</ref> सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के टारगेट के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।<ref name="cvssv1">{{cite web |url=https://www.first.org/cvss/v1 |title=सीवीएसएस v1 आर्काइव|author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref><ref>{{cite web | ||
|title=NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC | |title=NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC | ||
|url=https://www.cisa.gov/sites/default/files/publications/niac-qbm-minutes-04-12-05-508.pdf | |url=https://www.cisa.gov/sites/default/files/publications/niac-qbm-minutes-04-12-05-508.pdf | ||
Line 13: | Line 13: | ||
|date=2005-04-12 | |date=2005-04-12 | ||
|accessdate=2022-07-18}}</ref> | |accessdate=2022-07-18}}</ref> | ||
उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ सिग्नीफिकेन्ट मुद्दे थे। सीवीएसएस वर्जन 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।<ref name="cvssv2">{{cite web |url=https://www.first.org/cvss/v2/history |title=CVSS v2 History |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=2015-11-15}}</ref> | |||
आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस वर्जन 3 पर कार्य प्रारंभ हुआ<ref name="cvss3">{{cite web |url=http://www.first.org/cvss/v3/development |title=Announcing the CVSS Special Interest Group for CVSS v3 Development |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=March 2, 2013 |archive-url=https://web.archive.org/web/20130217111355/http://www.first.org/cvss/v3/development |archive-date=February 17, 2013 |url-status=dead }}</ref> 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।<ref name=":0" /><ref name="cvss3.0">{{cite web |url=https://www.first.org/cvss |title=Common Vulnerability Scoring System, V3 Development Update |author=<!--Staff writer(s); no by-line.--> |publisher=First.org, Inc. |accessdate=November 13, 2015}}</ref> | |||
== शब्दावली == | == शब्दावली == | ||
सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है: | सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है: | ||
1. वल्नेरेबिलिटी के आंतरिक गुणों के लिए बेस मेट्रिक्स | |||
== | 2. वल्नेरेबिलिटी के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स | ||
3. वुलनेराबिलिटीज़ के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं। | |||
इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है। | |||
== वर्जन 2 == | |||
सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है।<ref name="cvssv2_specs">{{cite web|url=https://www.first.org/cvss/v2/guide |title=सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण|publisher=First.org, Inc. |date= |accessdate=2015-11-15}}</ref> नीचे सारांश दिया गया है। | |||
=== बेस मेट्रिक्स === | === बेस मेट्रिक्स === | ||
==== | ==== एक्सेस वेक्टर ==== | ||
एक्सेस वेक्टर (एवी) दिखाता है कि वल्नेरेबिलिटी का एक्सप्लोइटेशन कैसे किया जा सकता है। | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | लोकल (एल)|| अटैककर्स के निकट या तो वल्नरेबल सिस्टम (जैसे फायरवायर अटैककर्स) या लोकल अकाउंट (जैसे प्रिविलेज एस्कालेशन अटैककर्स) तक फिजिकल एक्सेस होना चाहिए।||0.395 | ||
|- | |- | ||
| | | अदजसेंट नेटवर्क (ए)|| अटैककर्स के निकट वल्नरेबल सिस्टम के बोर्डकास्ट या कोलिजन डोमेन तक एक्सेस होना चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ अटैककर्स)।||0.646 | ||
|- | |- | ||
| नेटवर्क (एन)|| | | नेटवर्क (एन)||वल्नरेबल इंटरफ़ेस ओएसआई नेटवर्क स्टैक की लेयर 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की वुलनेराबिलिटीज़ को अधिकांशतः ओवरफ्लो से एक्सप्लोइटेबल के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सर्विस में ओवरफ्लो बफर रिमोट) | ||
|1.0 | |1.0 | ||
|} | |} | ||
==== एक्सेस कम्प्लेक्सिटी ==== | |||
एक्सेस कम्प्लेक्सिटी (एसी) मीट्रिक बताती है कि अनुसंधान गई वल्नेरेबिलिटी का लाभ उठाना कितना आसान या कठिन है। | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | हाई (एच)|| स्पेशलिज़्ड कंडीशन उपस्थित हैं, जैसे नैरो विंडो के साथ रेस की कंडीशन, या सोशल इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा सरलता से देखी जा सकती है।||0.35 | ||
|- | |- | ||
| | | मीडियम (एम)||अटैककर्स के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे अटैककर्स की उत्पत्ति पर सीमा, अनकॉमन, नॉन-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ वल्नरेबल सिस्टम के चलने की आवश्यकता। | ||
|0.61 | |0.61 | ||
|- | |- | ||
| | | लो (एल)|| वल्नेरेबिलिटी का एक्सप्लोइटिंग करने के लिए कोई विशेष कंडीशन नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में यूजर के लिए उपलब्ध हो, या वल्नरेबल कॉन्फ़िगरेशन यूबीक्विटोस हो।||0.71 | ||
|} | |} | ||
====ऑथेंटिकेशन==== | |||
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब अटैककर्स को टारगेट का लाभ उठाने के लिए उसे ऑथेंटिकेट करना होता है। इसमें (उदाहरण के लिए) एक्सेस प्राप्त करने के लिए किसी नेटवर्क का ऑथेंटिकेशन सम्मिलित नहीं है। लोकल रूप से एक्सप्लोइटेबल वुलनेराबिलिटीज़ के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक एक्सेस के बाद और ऑथेंटिकेशन की आवश्यकता हो। | |||
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | मल्टीप्ल (एम)|| वल्नेरेबिलिटी के एक्सप्लोइटेशन के लिए आवश्यक है कि अटैककर्स दो या अधिक बार ऑथेंटिकेट करे, भले ही समान क्रेडेंशियल्स का उपयोग किया जाए।||0.45 | ||
|- | |- | ||
| | | सिंगल (एस) || वल्नेरेबिलिटी का लाभ उठाने के लिए अटैककर्स को ऑथेंटिकेट करना होगा।||0.56 | ||
|- | |- | ||
| | | नन (एन)|| अटैककर्स को ऑथेंटिकेट करने की कोई आवश्यकता नहीं है।||0.704 | ||
|} | |} | ||
=== इम्पैक्ट मेट्रिक्स === | |||
=== | ==== कॉन्फिडेंशियलिटी ==== | ||
कॉन्फिडेंशियलिटी (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की कॉन्फिडेंशियलिटी पर इम्पैक्ट का वर्णन करता है। | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | नन (एन) || सिस्टम की कॉन्फिडेंशियलिटी पर कोई इम्पैक्ट नहीं पड़ता है।||0.0 | ||
|- | |- | ||
| | | पार्शियल (पी) || इनफार्मेशन का अधिक डिसक्लोस्जर हुई है, किन्तु डैमेज की सीमा इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं।||0.275 | ||
|- | |- | ||
| | | कम्पलीट (सी) || सिस्टम पर किसी भी / सभी डेटा तक एक्सेस प्रदान करने के लिए कुल इनफार्मेशन डिसक्लोस्जर है। वैकल्पिक रूप से, केवल कुछ रिस्ट्रिक्टेड इनफार्मेशन तक ही एक्सेस प्राप्त की जाती है, किन्तु प्रकट की गई इनफार्मेशन डायरेक्ट, सीरियस इम्पैक्ट प्रस्तुत करती है।||0.660 | ||
|} | |} | ||
====इंटीग्रिटी ==== | |||
==== | इंटीग्रिटी (I) मीट्रिक शोषित सिस्टम की इंटीग्रिटी पर इम्पैक्ट का वर्णन करता है। | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | नन (एन) || सिस्टम की इंटीग्रिटी पर कोई इम्पैक्ट नहीं पड़ता है।||0.0 | ||
|- | |- | ||
| | | पार्शियल (पी) || कुछ डेटा या सिस्टम फ़ाइलों का मॉडिफिकेशन संभव है, किन्तु मॉडिफिकेशन का स्कोप सीमित है।||0.275 | ||
|- | |- | ||
| | | कम्पलीट (सी) || इंटीग्रिटी का कुल लोस होता है; अटैककर्स टारगेट सिस्टम पर किसी भी फाइल या इनफार्मेशन को संशोधित कर सकता है।||0.660 | ||
|} | |} | ||
==== | ====अवेलेबिलिटी ==== | ||
अवेलेबिलिटी (ए) मीट्रिक टारगेट सिस्टम की अवेलेबिलिटी पर इम्पैक्ट का वर्णन करती है। अटैककर्स जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य रिसोर्स का उपभोग करते हैं, सिस्टम की अवेलेबिलिटी को अफेक्टेड करते हैं। | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | नन (एन) || सिस्टम की अवेलेबिलिटी पर कोई इम्पैक्ट नहीं पड़ता है।||0.0 | ||
|- | |- | ||
| | | पार्शियल (पी) || परफॉरमेंस लो हो ई है या कुछ फंक्शनलिटी भी लो गई है।||0.275 | ||
|- | |- | ||
| | | कम्पलीट (सी) || अटैकएड किए गए रिसोर्स की अवेलेबिलिटी का कुल लोस हुआ है।||0.660 | ||
|} | |} | ||
=== गणना === | === गणना === | ||
इन छह मेट्रिक्स का उपयोग | इन छह मेट्रिक्स का उपयोग एक्सप्लोइटेशन क्षमता की गणना करने और वल्नेरेबिलिटी के उप-स्कोर को अफेक्टेड करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है। | ||
<math> | <math> | ||
Line 143: | Line 142: | ||
\textsf{BaseScore} = \textsf{roundTo1Decimal}( ((0.6 \times \textsf{Impact}) +(0.4 \times \textsf{Exploitability})-1.5) \times f(\textsf{Impact})) | \textsf{BaseScore} = \textsf{roundTo1Decimal}( ((0.6 \times \textsf{Impact}) +(0.4 \times \textsf{Exploitability})-1.5) \times f(\textsf{Impact})) | ||
</math> | </math> | ||
वल्नेरेबिलिटी के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है। | |||
==== उदाहरण ==== | ==== उदाहरण ==== | ||
बफर ओवरफ्लो | बफर ओवरफ्लो वल्नेरेबिलिटी वेब सर्वर सॉफ़्टवेयर को अफेक्टेड करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का पार्शियल नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे शटिंग करने की क्षमता भी सम्मिलित है: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! मेट्रिक !! वैल्यू !! विवरण | ||
|- | |- | ||
| | | एक्सेस वेक्टर || नेटवर्क || वल्नेरेबिलिटी को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो टारगेट सिस्टम तक एक्सेस सकता है - सामान्यतः संपूर्ण इंटरनेट | ||
|- | |- | ||
| | | एक्सेस कोम्प्लेक्सिटी || लो || एक्सेस के लिए कोई विशेष आवश्यकताएँ नहीं हैं | ||
|- | |- | ||
| | | ऑथेंटिकेशन || नन || वल्नेरेबिलिटी का लाभ उठाने के लिए ऑथेंटिकेशन की कोई आवश्यकता नहीं है | ||
|- | |- | ||
| | | कॉन्फिडेंशियलिटी || पार्शियल || अटैककर्स सिस्टम पर उपस्थित कुछ फाइलों और डेटा को रीड कर सकता है | ||
|- | |- | ||
| | | इंटीग्रिटी || पार्शियल || अटैककर्स सिस्टम पर कुछ फाइलों और डेटा को परिवर्तित कर सकता है | ||
|- | |- | ||
| | | अवेलेबिलिटी || कम्पलीट || अटैककर्स सिस्टम को शटिंग करके सिस्टम और वेब सर्विस को एनवैलब्ले / अनरेस्पोंसिव बना सकता है | ||
|} | |} | ||
यह 9.0 का समग्र आधार स्कोर देते हुए 10 का | यह 9.0 का समग्र आधार स्कोर देते हुए 10 का एक्सप्लोइटेबल उप-स्कोर और 8.5 का इम्पैक्ट उप-स्कोर देगा। | ||
इस | |||
इस कंडीशन में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता वल्नेरेबिलिटी की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके। | |||
=== टेम्पोरल मेट्रिक्स === | === टेम्पोरल मेट्रिक्स === | ||
टेम्पोरल मेट्रिक्स का मूल्य | टेम्पोरल मेट्रिक्स का मूल्य वल्नेरेबिलिटी के जीवनकाल में परिवर्तित कर जाता है, क्योंकि एक्सप्लोइटेशन विकसित, सारांश और ऑटोमेटेड होता है और जैसे ही मिटिगेशन और फिक्स उपलब्ध होते हैं। | ||
==== | ==== एक्सप्लोइटाबिलिटी ==== | ||
एक्सप्लोइटेशन क्षमता (ई) मीट्रिक एक्सप्लोइटेशन तकनीकों या ऑटोमेटेड एक्सप्लोइटेशन कोड की वर्तमान कंडीशन का वर्णन करती है। | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | अनप्रोवेन (यू) || कोई एक्सप्लोइटेशन कोड उपलब्ध नहीं है, या एक्सप्लोइटेशन थ्योरेटिकल है || 0.85 | ||
|- | |- | ||
| | | प्रूफ ऑफ़ कांसेप्ट (पी) || प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लोइटेशन कोड या परफॉरमेंस अटैककर्स उपलब्ध हैं, किन्तु व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। वल्नेरेबिलिटी के सभी उदाहरणों के अगेंस्ट फंक्शनल नहीं है। || 0.9 | ||
|- | |- | ||
| | | फंक्शनल (एफ) || फंक्शनल एक्सप्लोइटेशन कोड उपलब्ध है, और अधिकांश स्थितियों में कार्यकरता है जहां वल्नेरेबिलिटी उपस्थित है। || 0.95 | ||
|- | |- | ||
| | | हाई (एच) || मोबाइल कोड (जैसे वोर्म या वायरस) सहित ऑटोमेटेड कोड द्वारा वल्नेरेबिलिटी का लाभ उठाया जा सकता है। || 1.0 | ||
|- | |- | ||
| | | नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0 | ||
|} | |} | ||
'''रेमेडिएशन लेवल''' | |||
वल्नेरेबिलिटी का सुधारात्मक लेवल (आरएल) वल्नेरेबिलिटी के टेम्पररी स्कोर को लो करने की अनुमति देता है क्योंकि मिटिगेशन और ऑफिसियल फिक्स उपलब्ध कराए जाते हैं। | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | ऑफिसियल फिक्स (ओ) || कम्पलीट वेंडर सलूशन उपलब्ध है - या तो पैच या अपग्रेड। || 0.87 | ||
|- | |- | ||
| | | टेम्पररी फिक्स (टी) || वेंडर से ऑफिसियल किन्तु टेम्पररी फिक्स / मिटिगेशन उपलब्ध है। || 0.90 | ||
|- | |- | ||
| | | सलूशन (डब्ल्यू) || अनऑफिसियल, नॉन-वेंडर सलूशन या मिटिगेशन उपलब्ध है - संभवतः अफेक्टेड प्रोडक्ट या किसी अन्य तृतीय पक्ष के यूजर द्वारा डेवलप्ड या सजस्ट किया गया हो। || 0.95 | ||
|- | |- | ||
| | | एनवैलब्ले (यू) || कोई सलूशन उपलब्ध नहीं है, या सजस्ट किये गए सलूशन को प्रारम्भ करना असंभव है। जब वल्नेरेबिलिटी की पहचान की जाती है तो यह रेमेडिएशन लेवल की सामान्य प्रारंभिक कंडीशन होती है। || 1.0 | ||
|- | |- | ||
| | | नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0 | ||
|} | |} | ||
==== रिपोर्ट कॉन्फिडेंस ==== | |||
==== रिपोर्ट | वल्नेरेबिलिटी की रिपोर्ट विश्वास (आरसी) वल्नेरेबिलिटी के अस्तित्व में विश्वास के लेवल को मापता है और वल्नेरेबिलिटी के तकनीकी विवरण की विश्वसनीयता को भी मापता है। | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | अनकंफर्म्ड (यूसी) || अनकंफर्म्ड सोर्स, मल्टीप्ल कन्फ्लिक्टिंग सोर्स। रउमरेड वल्नेरेबिलिटी। || 0.9 | ||
|- | |- | ||
| | | अनकरोबोरेटेड (यूआर) || कई सोर्स जो व्यापक रूप से सहमत हैं- वल्नेरेबिलिटी के बारे में शेष अनिश्चितता का लेवल हो सकता है || 0.95 | ||
|- | |- | ||
| | | कंफर्म्ड (सी) || अफेक्टेड प्रोडक्ट के वेंडर या manufacturer द्वारा स्वीकार और कंफर्म्ड की गई। || 1.0 | ||
|- | |- | ||
| | | नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0 | ||
|} | |} | ||
==== गणना ==== | ==== गणना ==== | ||
इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना | इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ वल्नेरेबिलिटी के लिए टेम्पररी स्कोर बनाने के लिए की जाती है। | ||
लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है: | लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है: | ||
Line 231: | Line 230: | ||
\textsf{TemporalScore} = \textsf{roundTo1Decimal}(\textsf{BaseScore} \times \textsf{Exploitability} \times \textsf{RemediationLevel} \times \textsf{ReportConfidence}) | \textsf{TemporalScore} = \textsf{roundTo1Decimal}(\textsf{BaseScore} \times \textsf{Exploitability} \times \textsf{RemediationLevel} \times \textsf{ReportConfidence}) | ||
</math> | </math> | ||
=== उदाहरण === | === उदाहरण === | ||
ऊपर दिए गए उदाहरण के साथ | ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि वेंडर को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके वल्नेरेबिलिटी के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! मीट्रिक !! वैल्यू !! विवरण | ||
|- | |- | ||
| | | एक्सप्लोइटेशन || प्रूफ ऑफ़ कांसेप्ट || बेसिक एक्सप्लोइटेशन की फंक्शनलिटी दिखाने के लिए प्रूफ ऑफ़ कांसेप्ट, नॉन-ऑटोमेटेड कोड प्रदान किया जाता है। | ||
|- | |- | ||
| | | रेमेडिएशन लेवल || एनवैलब्ले ||वेंडर को अभी तक मिटिगेशन प्रदान करने या उचित करने का अवसर नहीं मिला है। | ||
|- | |- | ||
| | | रिपोर्ट कॉन्फिडेंस || अनकंफर्म्ड || वल्नेरेबिलिटी की ही रिपोर्ट की गई है | ||
|} | |} | ||
यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का | यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का कम्पलीट वेक्टर) के टेम्पररी वेक्टर के साथ 7.3 का टेम्पररी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी). | ||
यदि | यदि वेंडर वल्नेरेबिलिटी की कंफर्म्ड करता है, तो ई: पी / आरएल: यू / आरसी: सी के टेम्पररी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है। | ||
वेंडर की ओर से | वेंडर की ओर से टेम्पररी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक लो कर देगा, जबकि ऑफिसियल फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक अफेक्टेड सिस्टम को उचित कर दिया गया है पैच कर दिया गया है, टेम्पररी स्कोर वेंडर के कार्यों के आधार पर निश्चित लेवल से लो नहीं हो सकता है, और यदि वल्नेरेबिलिटी के लिए ऑटोमेटेड एक्सप्लोइटेशन विकसित किया जाता है तो यह बढ़ सकता है। | ||
=== | === एनवायर्नमेंटल मेट्रिक्स === | ||
पर्यावरण मेट्रिक्स आधार और वर्तमान | पर्यावरण मेट्रिक्स आधार और वर्तमान टेम्पररी स्कोर का उपयोग वल्नरेबल प्रोडक्ट या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में वल्नेरेबिलिटी की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा। | ||
==== | ==== कोलैटरल डैमेज पोटेंशियल ==== | ||
कोलैटरल डैमेज पोटेंशियल (सीडीपी) मीट्रिक फिजिकल प्रॉपर्टी जैसे उपकरण (और जीवन) पर पोटेंशियल लोस या इम्पैक्ट को मापता है, यदि वल्नेरेबिलिटी का एक्सप्लोइटेशन किया जाता है तो अफेक्टेड आर्गेनाईजेशन पर फाइनेंसियल इम्पैक्ट पड़ता है। | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | नन (एन) || प्रॉपर्टी, रेवेनुए या प्रोडक्टिविटी के लोस की कोई संभावना नहीं है || 0 | ||
|- | |- | ||
| | | लो (एल) || प्रॉपर्टी को माइनर लोस, या रेवेनुए या प्रोडक्टिविटी का सामान्य लोस || 0.1 | ||
|- | |- | ||
| | | लो-मीडियम (एलएम) || मॉडरेट लोस या डैमेज || 0.3 | ||
|- | |- | ||
| | | मीडियम-हाई (एमएच) || सिग्नीफिकेन्ट लोस या डैमेज || 0.4 | ||
|- | |- | ||
| | | हाई (एच) || कटस्ट्रोफिक लोस या डैमेज || 0.5 | ||
|- | |- | ||
| | | नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 0 | ||
|} | |} | ||
==== टारगेट डिस्ट्रीब्यूशन ==== | |||
==== | टारगेट डिस्ट्रीब्यूशन (टीडी) मीट्रिक पर्यावरण में वल्नरेबल प्रणालियों के अनुपात को मापता है। | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | नन (एन) || कोई टारगेट सिस्टम उपस्थित नहीं है, वे केवल कुछ लेबोरेटरी सेटिंग में उपस्थित हैं || 0 | ||
|- | |- | ||
| | | लो (एल) || 1-25% सिस्टम रिस्क में हैं || 0.25 | ||
|- | |- | ||
| | | मीडियम (एम) || 26–75% सिस्टम रिस्क में हैं || 0.75 | ||
|- | |- | ||
| | | हाई (एच) || 76-100% सिस्टम रिस्क में हैं || 1.0 | ||
|- | |- | ||
| | | नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0 | ||
|} | |} | ||
==== इम्पैक्ट सब्सकोर मॉडिफाइयर ==== | |||
==== इम्पैक्ट सब्सकोर | तीन और मेट्रिक्स कॉन्फिडेंशियलिटी (सीआर),इंटीग्रिटी (आईआर) और अवेलेबिलिटी (एआर) के लिए स्पेशलिज़्ड सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को यूजर के पर्यावरण के अनुसार किया जा सकता है। | ||
तीन और मेट्रिक्स | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! वैल्यू !! विवरण !! अंक | ||
|- | |- | ||
| | | लो (एल) || (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर केवल सीमित प्रभाव पड़ने की संभावना है। || 0.5 | ||
|- | |- | ||
| | | मीडियम (एम) || (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर गंभीर प्रभाव पड़ने की संभावना है। || 1.0 | ||
|- | |- | ||
| | | हाई (एच) || (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर कटस्ट्रोफिक प्रभाव पड़ने की संभावना है। || 1.51 | ||
|- | |- | ||
| | | नोट डिफाइंड (एनडी) || यह इस स्कोर को उपेक्षित करने का संकेत है। || 1.0 | ||
|} | |} | ||
==== गणना ==== | ==== गणना ==== | ||
पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग | पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पूर्व से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है। | ||
<math> | <math> | ||
Line 322: | Line 316: | ||
\textsf{EnvironmentalScore} = \textsf{roundTo1Decimal}((\textsf{AdjustedTemporal}+(10-\textsf{AdjustedTemporal}) \times \textsf{CollateralDamagePotential}) \times \textsf{TargetDistribution}) | \textsf{EnvironmentalScore} = \textsf{roundTo1Decimal}((\textsf{AdjustedTemporal}+(10-\textsf{AdjustedTemporal}) \times \textsf{CollateralDamagePotential}) \times \textsf{TargetDistribution}) | ||
</math> | </math> | ||
=== उदाहरण === | === उदाहरण === | ||
यदि उपरोक्त | यदि उपरोक्त वल्नरेबल वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और वेंडर से टेम्पररी फिक्स उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! मीट्रिक !! वैल्यू !! विवरण | ||
|- | |- | ||
| | | कोलैटरल डैमेज पोटेंशियल || मीडियम हाई || यह मान इस बात पर निर्भर करेगा कि यदि वल्नरेबल सिस्टम का एक्सप्लोइटेशन किया जाता है तो अटैककर्स किस इनफार्मेशन तक एक्सेस प्राप्त कर सकता है। इस कंडीशन में, मैं मान रहा हूं कि कुछ पर्सनल बैंकिंग इनफार्मेशन उपलब्ध है, इसलिए बैंक पर सिग्नीफिकेन्ट प्रतिष्ठात्मक इम्पैक्ट है। | ||
|- | |- | ||
| | | टारगेट डिस्ट्रीब्यूशन || हाई || बैंक के सभी वेब सर्वर वल्नरेबल सॉफ़्टवेयर चलाते हैं। | ||
|- | |- | ||
| | | कॉन्फिडेंशियलिटी की आवश्यकता || हाई || कस्टमर अपेक्षा करते हैं कि उनकी बैंकिंग इनफार्मेशन गोपनीय होगी। | ||
|- | |- | ||
| | | इंटीग्रिटी की आवश्यकता || हाई || अथॉरिटी के बिना फाइनेंसियल और पर्सनल इनफार्मेशन परिवर्तित करने योग्य नहीं होनी चाहिए। | ||
|- | |- | ||
| | | अवेलेबिलिटी की आवश्यकता || लो || ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से कस्टमर को असुविधा हो सकती है, किन्तु कटस्ट्रोफिक नहीं। | ||
|} | |} | ||
यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए | यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए अफेक्टेड बैंक के व्यवसाय के संदर्भ में सिग्नीफिकेन्ट वल्नेरेबिलिटी है। | ||
वर्जन 2 की आलोचना | |||
कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया। | |||
रिस्क आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।<ref name="rbs_failures_cvssv2"><nowiki>{{cite web|url=</nowiki>http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}</ref> लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और रिस्क प्रोफाइल की वुलनेराबिलिटीज़ को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को वल्नेरेबिलिटी के त्रुटिहीन इम्पैक्ट के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था। | |||
ऑफिसियल सीवीएसएस विनिर्देशों में पार्शियल और कम्पलीट के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के लिए पार्शियल + का नया मीट्रिक मूल्य प्रस्तुत किया।<ref name="oracle_partialplus">{{cite web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html |title=सीवीएसएस स्कोरिंग सिस्टम|publisher=Oracle |date=2010-06-01 |accessdate=2015-11-15}}</ref> | |||
कई मेट्रिक्स | == वर्जन 3 == | ||
इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस वर्जन 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।<ref name="cvssv3.0_specs">{{cite web|url=https://www.first.org/cvss/specification-document |title=CVSS v3,.0 विशिष्टता दस्तावेज़|publisher=FIRST, Inc. |date= |accessdate=2015-11-15}}</ref> | |||
कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), लो (0.1-3.9), मीडियम (4.0-6.9), हाई (7.0-8.9), और सीरियस (9.0-10.0) की शाब्दिक गंभीरता रेटिंग<ref name="cvss3.0_severities">{{cite web |url=https://www.first.org/cvss/specification-document#i5 |title=सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)|author=<!--Staff writer(s); no by-line.--> |publisher=First.org |accessdate=2016-01-10}}</ref> को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे | |||
.<ref name="nist_ranges">{{cite web |url=http://nvd.nist.gov/cvss.cfm |title=NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2|author=<!--Staff writer(s); no by-line.--> |work=National Vulnerability Database |publisher=National Institute of Standards and Technology |accessdate=March 2, 2013}}</ref> | .<ref name="nist_ranges">{{cite web |url=http://nvd.nist.gov/cvss.cfm |title=NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2|author=<!--Staff writer(s); no by-line.--> |work=National Vulnerability Database |publisher=National Institute of Standards and Technology |accessdate=March 2, 2013}}</ref> | ||
=== | ===वर्जन 2 से परिवर्तन=== | ||
==== बेस मेट्रिक्स ==== | ==== बेस मेट्रिक्स ==== | ||
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को | बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को वुलनेराबिलिटीज़ को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन वुलनेराबिलिटीज़ का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर अटैकएड करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही वल्नेरेबिलिटी के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं। | ||
कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी (C, I, A) मेट्रिक्स को सीवीएसएसv2 के पार्शियल, कम्पलीट के स्थान पर कोई नहीं, लो, या हाई स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर वल्नेरेबिलिटी के इम्पैक्ट को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है। | |||
एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस वल्नेरेबिलिटी का दोहराए जाने योग्य एक्सप्लोइटेशन कैसे हो सकता है; एसी हाई है यदि अटैककर्स को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है। | |||
अटैक वेक्टर (एवी) ने उन | अटैक वेक्टर (एवी) ने उन वुलनेराबिलिटीज़ का वर्णन करने के लिए फिजिकल (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें परफॉरमेंस करने के लिए डिवाइस या सिस्टम तक फिजिकल एक्सेस की आवश्यकता होती है। | ||
टेम्पोरल मेट्रिक्स | '''टेम्पोरल मेट्रिक्स''' | ||
टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे। | |||
=== | ==== एनवायर्नमेंटल मेट्रिक्स ==== | ||
सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ परिवर्तित कर दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी आर्गेनाईजेशन या कंपनी के भीतर अंतर को दर्शाना है। स्पेशलिज़्ड वातावरण में कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के वैल्यू को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है। | |||
== | ===वर्जन 3 की आलोचना=== | ||
सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में वुलनेराबिलिटीज़ को स्कोर करने में किया जाता है।<ref name="cert_cvss_iot">{{cite web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html |title=सीवीएसएस और इंटरनेट ऑफ थिंग्स|publisher=CERT Coordination Center |date=2015-09-02 |accessdate=2015-11-15}}</ref> | |||
== वर्जन 3.1 == | |||
सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस वर्जन 3.1 का टारगेट नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस वर्जन 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में फिक्स करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में फिक्स करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में फिक्स करते हैं। | |||
फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही वुलनेराबिलिटीज़, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक टारगेट कई भिन्न-भिन्न निर्वाचन क्षेत्रों में वल्नेरेबिलिटी की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को रिस्क, उपचार और मिटिगेशन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और रिस्क सहिष्णुता होते है। | |||
== | सीवीएसएस वर्जन 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, प्रिविलेज आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को ऑफिसियल आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि कॉन्फिडेंशियलिटी, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस वर्जन 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है। | ||
सीवीएसएस के | |||
* [[राष्ट्रीय भेद्यता डेटाबेस]] | == एडॉप्शन == | ||
* [[ओपन सोर्स भेद्यता डेटाबेस | सीवीएसएस के वर्जनों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा वल्नेरेबिलिटी की सेवरिटी को मापने के लिए प्राइमरी मेथड के रूप में स्वीकार किया गया है, जिनमें लो सम्मिलित हैं: | ||
* सीईआरटी | * [[राष्ट्रीय भेद्यता डेटाबेस|नेशनल वल्नेरेबिलिटी डेटाबेस]] (एनवीडी)<ref name="nvdb_main">{{cite web|url=http://nvd.nist.gov/home.cfm |title=राष्ट्रीय भेद्यता डेटाबेस होम|publisher=Nvd.nist.gov |date= |accessdate=2013-04-16}}</ref> | ||
* [[ओपन सोर्स भेद्यता डेटाबेस|ओपन सोर्स वल्नेरेबिलिटी डेटाबेस]] (ओएसवीडीबी)<ref name="osvdb_main">{{cite web|url=http://www.osvdb.org/ |title=ओपन सोर्स भेद्यता डेटाबेस|publisher=OSVDB |date= |accessdate=2013-04-16}}</ref> | |||
* सीईआरटी कोआर्डिनेशन सेण्टर,<ref name="cert_uses_cvss">{{cite web|url=https://insights.sei.cmu.edu/cert/2012/04/-vulnerability-severity-using-cvss.html |title=सीवीएसएस का उपयोग कर भेद्यता गंभीरता|publisher=CERT Coordination Center |date=2012-04-12 |accessdate=2015-11-15}}</ref> जो विशेष रूप से सीवीएसएस v2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है। | |||
== यह भी देखें == | == यह भी देखें == | ||
* | *कॉमन वीकनेस एनयूमेरशन (सीडब्ल्यूई) | ||
* | *कॉमन वल्नेरेबिलिटी और एक्सपोज़र्स (सीवीई) | ||
* | *कॉमन अटैक पैटर्न एनयूमेरशन और क्लासिफिकेशन (सीएपीईसी) | ||
==संदर्भ== | ==संदर्भ== | ||
Line 399: | Line 393: | ||
==बाहरी संबंध== | ==बाहरी संबंध== | ||
*[http://www.first.org/cvss The Forum of Incident Response and Security Teams (FIRST) | *[http://www.first.org/cvss The Forum of Incident Response and Security Teams (FIRST) सीवीएसएस site] | ||
*[http://nvd.nist.gov/cvss.cfm National Vulnerability Database (NVD) | *[http://nvd.nist.gov/cvss.cfm National Vulnerability Database (NVD) सीवीएसएस site] | ||
*[http://nvd.nist.gov/cvss.cfm?calculator&version=2 Common Vulnerability Scoring System v2 Calculator] | *[http://nvd.nist.gov/cvss.cfm?calculator&version=2 Common Vulnerability Scoring System v2 Calculator] | ||
[[Category: | [[Category:Collapse templates]] | ||
[[Category:Created On 02/05/2023]] | [[Category:Created On 02/05/2023]] | ||
[[Category:Lua-based templates]] | |||
[[Category:Machine Translated Page]] | |||
[[Category:Navigational boxes| ]] | |||
[[Category:Navigational boxes without horizontal lists]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Short description with empty Wikidata description]] | |||
[[Category:Sidebars with styles needing conversion]] | |||
[[Category:Template documentation pages|Documentation/doc]] | |||
[[Category:Templates Vigyan Ready]] | |||
[[Category:Templates generating microformats]] | |||
[[Category:Templates that add a tracking category]] | |||
[[Category:Templates that are not mobile friendly]] | |||
[[Category:Templates that generate short descriptions]] | |||
[[Category:Templates using TemplateData]] | |||
[[Category:Wikipedia metatemplates]] | |||
[[Category:कंप्यूटर नेटवर्क सुरक्षा]] | |||
[[Category:कंप्यूटर सुरक्षा मानक]] |
Latest revision as of 11:50, 16 October 2023
कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सिक्योरिटी वल्नेरेबिलिटी (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए फ्री और ओपन इंडस्ट्री स्टैण्डर्ड है। सीवीएसएस वल्नेरेबिलिटी के लिए सेवरिटी स्कोर निर्दिष्ट करने का प्रयास करता है, जिससे रेस्पॉन्डर्स को थ्रेट के अनुसार रेस्पॉन्सेस और रिसोर्सेज को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी एक्सप्लॉइट की सरलता और इम्पैक्ट का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे सीरियस होता है। जबकि कई लोग सेवरिटी का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं,, टेम्पोरल और एनवायर्नमेंटल स्कोर भी उपस्थित होते हैं, जो क्रमशः मिटिगेशंस की अवेलेबिलिटी और आर्गेनाईजेशन के भीतर व्यापक रूप से कितने वल्नरेबल सिस्टम्स उपस्थित हैं इसका ध्यान में रखते हैं।
सीवीएसएस (सीवीएसएसवी 3.1) का वर्तमान वर्जन जून 2019 में प्रस्तावित किया गया था।[1]
इतिहास
2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के टारगेट के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।[3][4]
उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ सिग्नीफिकेन्ट मुद्दे थे। सीवीएसएस वर्जन 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।[5]
आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस वर्जन 3 पर कार्य प्रारंभ हुआ[6] 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।[2][7]
शब्दावली
सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:
1. वल्नेरेबिलिटी के आंतरिक गुणों के लिए बेस मेट्रिक्स
2. वल्नेरेबिलिटी के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स
3. वुलनेराबिलिटीज़ के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।
इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
वर्जन 2
सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है।[8] नीचे सारांश दिया गया है।
बेस मेट्रिक्स
एक्सेस वेक्टर
एक्सेस वेक्टर (एवी) दिखाता है कि वल्नेरेबिलिटी का एक्सप्लोइटेशन कैसे किया जा सकता है।
वैल्यू | विवरण | अंक |
---|---|---|
लोकल (एल) | अटैककर्स के निकट या तो वल्नरेबल सिस्टम (जैसे फायरवायर अटैककर्स) या लोकल अकाउंट (जैसे प्रिविलेज एस्कालेशन अटैककर्स) तक फिजिकल एक्सेस होना चाहिए। | 0.395 |
अदजसेंट नेटवर्क (ए) | अटैककर्स के निकट वल्नरेबल सिस्टम के बोर्डकास्ट या कोलिजन डोमेन तक एक्सेस होना चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ अटैककर्स)। | 0.646 |
नेटवर्क (एन) | वल्नरेबल इंटरफ़ेस ओएसआई नेटवर्क स्टैक की लेयर 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की वुलनेराबिलिटीज़ को अधिकांशतः ओवरफ्लो से एक्सप्लोइटेबल के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सर्विस में ओवरफ्लो बफर रिमोट) | 1.0 |
एक्सेस कम्प्लेक्सिटी
एक्सेस कम्प्लेक्सिटी (एसी) मीट्रिक बताती है कि अनुसंधान गई वल्नेरेबिलिटी का लाभ उठाना कितना आसान या कठिन है।
वैल्यू | विवरण | अंक |
---|---|---|
हाई (एच) | स्पेशलिज़्ड कंडीशन उपस्थित हैं, जैसे नैरो विंडो के साथ रेस की कंडीशन, या सोशल इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा सरलता से देखी जा सकती है। | 0.35 |
मीडियम (एम) | अटैककर्स के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे अटैककर्स की उत्पत्ति पर सीमा, अनकॉमन, नॉन-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ वल्नरेबल सिस्टम के चलने की आवश्यकता। | 0.61 |
लो (एल) | वल्नेरेबिलिटी का एक्सप्लोइटिंग करने के लिए कोई विशेष कंडीशन नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में यूजर के लिए उपलब्ध हो, या वल्नरेबल कॉन्फ़िगरेशन यूबीक्विटोस हो। | 0.71 |
ऑथेंटिकेशन
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब अटैककर्स को टारगेट का लाभ उठाने के लिए उसे ऑथेंटिकेट करना होता है। इसमें (उदाहरण के लिए) एक्सेस प्राप्त करने के लिए किसी नेटवर्क का ऑथेंटिकेशन सम्मिलित नहीं है। लोकल रूप से एक्सप्लोइटेबल वुलनेराबिलिटीज़ के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक एक्सेस के बाद और ऑथेंटिकेशन की आवश्यकता हो।
वैल्यू | विवरण | अंक |
---|---|---|
मल्टीप्ल (एम) | वल्नेरेबिलिटी के एक्सप्लोइटेशन के लिए आवश्यक है कि अटैककर्स दो या अधिक बार ऑथेंटिकेट करे, भले ही समान क्रेडेंशियल्स का उपयोग किया जाए। | 0.45 |
सिंगल (एस) | वल्नेरेबिलिटी का लाभ उठाने के लिए अटैककर्स को ऑथेंटिकेट करना होगा। | 0.56 |
नन (एन) | अटैककर्स को ऑथेंटिकेट करने की कोई आवश्यकता नहीं है। | 0.704 |
इम्पैक्ट मेट्रिक्स
कॉन्फिडेंशियलिटी
कॉन्फिडेंशियलिटी (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की कॉन्फिडेंशियलिटी पर इम्पैक्ट का वर्णन करता है।
वैल्यू | विवरण | अंक |
---|---|---|
नन (एन) | सिस्टम की कॉन्फिडेंशियलिटी पर कोई इम्पैक्ट नहीं पड़ता है। | 0.0 |
पार्शियल (पी) | इनफार्मेशन का अधिक डिसक्लोस्जर हुई है, किन्तु डैमेज की सीमा इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं। | 0.275 |
कम्पलीट (सी) | सिस्टम पर किसी भी / सभी डेटा तक एक्सेस प्रदान करने के लिए कुल इनफार्मेशन डिसक्लोस्जर है। वैकल्पिक रूप से, केवल कुछ रिस्ट्रिक्टेड इनफार्मेशन तक ही एक्सेस प्राप्त की जाती है, किन्तु प्रकट की गई इनफार्मेशन डायरेक्ट, सीरियस इम्पैक्ट प्रस्तुत करती है। | 0.660 |
इंटीग्रिटी
इंटीग्रिटी (I) मीट्रिक शोषित सिस्टम की इंटीग्रिटी पर इम्पैक्ट का वर्णन करता है।
वैल्यू | विवरण | अंक |
---|---|---|
नन (एन) | सिस्टम की इंटीग्रिटी पर कोई इम्पैक्ट नहीं पड़ता है। | 0.0 |
पार्शियल (पी) | कुछ डेटा या सिस्टम फ़ाइलों का मॉडिफिकेशन संभव है, किन्तु मॉडिफिकेशन का स्कोप सीमित है। | 0.275 |
कम्पलीट (सी) | इंटीग्रिटी का कुल लोस होता है; अटैककर्स टारगेट सिस्टम पर किसी भी फाइल या इनफार्मेशन को संशोधित कर सकता है। | 0.660 |
अवेलेबिलिटी
अवेलेबिलिटी (ए) मीट्रिक टारगेट सिस्टम की अवेलेबिलिटी पर इम्पैक्ट का वर्णन करती है। अटैककर्स जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य रिसोर्स का उपभोग करते हैं, सिस्टम की अवेलेबिलिटी को अफेक्टेड करते हैं।
वैल्यू | विवरण | अंक |
---|---|---|
नन (एन) | सिस्टम की अवेलेबिलिटी पर कोई इम्पैक्ट नहीं पड़ता है। | 0.0 |
पार्शियल (पी) | परफॉरमेंस लो हो ई है या कुछ फंक्शनलिटी भी लो गई है। | 0.275 |
कम्पलीट (सी) | अटैकएड किए गए रिसोर्स की अवेलेबिलिटी का कुल लोस हुआ है। | 0.660 |
गणना
इन छह मेट्रिक्स का उपयोग एक्सप्लोइटेशन क्षमता की गणना करने और वल्नेरेबिलिटी के उप-स्कोर को अफेक्टेड करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।
वल्नेरेबिलिटी के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।
उदाहरण
बफर ओवरफ्लो वल्नेरेबिलिटी वेब सर्वर सॉफ़्टवेयर को अफेक्टेड करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का पार्शियल नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे शटिंग करने की क्षमता भी सम्मिलित है:
मेट्रिक | वैल्यू | विवरण |
---|---|---|
एक्सेस वेक्टर | नेटवर्क | वल्नेरेबिलिटी को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो टारगेट सिस्टम तक एक्सेस सकता है - सामान्यतः संपूर्ण इंटरनेट |
एक्सेस कोम्प्लेक्सिटी | लो | एक्सेस के लिए कोई विशेष आवश्यकताएँ नहीं हैं |
ऑथेंटिकेशन | नन | वल्नेरेबिलिटी का लाभ उठाने के लिए ऑथेंटिकेशन की कोई आवश्यकता नहीं है |
कॉन्फिडेंशियलिटी | पार्शियल | अटैककर्स सिस्टम पर उपस्थित कुछ फाइलों और डेटा को रीड कर सकता है |
इंटीग्रिटी | पार्शियल | अटैककर्स सिस्टम पर कुछ फाइलों और डेटा को परिवर्तित कर सकता है |
अवेलेबिलिटी | कम्पलीट | अटैककर्स सिस्टम को शटिंग करके सिस्टम और वेब सर्विस को एनवैलब्ले / अनरेस्पोंसिव बना सकता है |
यह 9.0 का समग्र आधार स्कोर देते हुए 10 का एक्सप्लोइटेबल उप-स्कोर और 8.5 का इम्पैक्ट उप-स्कोर देगा।
इस कंडीशन में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता वल्नेरेबिलिटी की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।
टेम्पोरल मेट्रिक्स
टेम्पोरल मेट्रिक्स का मूल्य वल्नेरेबिलिटी के जीवनकाल में परिवर्तित कर जाता है, क्योंकि एक्सप्लोइटेशन विकसित, सारांश और ऑटोमेटेड होता है और जैसे ही मिटिगेशन और फिक्स उपलब्ध होते हैं।
एक्सप्लोइटाबिलिटी
एक्सप्लोइटेशन क्षमता (ई) मीट्रिक एक्सप्लोइटेशन तकनीकों या ऑटोमेटेड एक्सप्लोइटेशन कोड की वर्तमान कंडीशन का वर्णन करती है।
वैल्यू | विवरण | अंक |
---|---|---|
अनप्रोवेन (यू) | कोई एक्सप्लोइटेशन कोड उपलब्ध नहीं है, या एक्सप्लोइटेशन थ्योरेटिकल है | 0.85 |
प्रूफ ऑफ़ कांसेप्ट (पी) | प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लोइटेशन कोड या परफॉरमेंस अटैककर्स उपलब्ध हैं, किन्तु व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। वल्नेरेबिलिटी के सभी उदाहरणों के अगेंस्ट फंक्शनल नहीं है। | 0.9 |
फंक्शनल (एफ) | फंक्शनल एक्सप्लोइटेशन कोड उपलब्ध है, और अधिकांश स्थितियों में कार्यकरता है जहां वल्नेरेबिलिटी उपस्थित है। | 0.95 |
हाई (एच) | मोबाइल कोड (जैसे वोर्म या वायरस) सहित ऑटोमेटेड कोड द्वारा वल्नेरेबिलिटी का लाभ उठाया जा सकता है। | 1.0 |
नोट डिफाइंड (एनडी) | यह इस स्कोर को उपेक्षित करने का संकेत है। | 1.0 |
रेमेडिएशन लेवल
वल्नेरेबिलिटी का सुधारात्मक लेवल (आरएल) वल्नेरेबिलिटी के टेम्पररी स्कोर को लो करने की अनुमति देता है क्योंकि मिटिगेशन और ऑफिसियल फिक्स उपलब्ध कराए जाते हैं।
वैल्यू | विवरण | अंक |
---|---|---|
ऑफिसियल फिक्स (ओ) | कम्पलीट वेंडर सलूशन उपलब्ध है - या तो पैच या अपग्रेड। | 0.87 |
टेम्पररी फिक्स (टी) | वेंडर से ऑफिसियल किन्तु टेम्पररी फिक्स / मिटिगेशन उपलब्ध है। | 0.90 |
सलूशन (डब्ल्यू) | अनऑफिसियल, नॉन-वेंडर सलूशन या मिटिगेशन उपलब्ध है - संभवतः अफेक्टेड प्रोडक्ट या किसी अन्य तृतीय पक्ष के यूजर द्वारा डेवलप्ड या सजस्ट किया गया हो। | 0.95 |
एनवैलब्ले (यू) | कोई सलूशन उपलब्ध नहीं है, या सजस्ट किये गए सलूशन को प्रारम्भ करना असंभव है। जब वल्नेरेबिलिटी की पहचान की जाती है तो यह रेमेडिएशन लेवल की सामान्य प्रारंभिक कंडीशन होती है। | 1.0 |
नोट डिफाइंड (एनडी) | यह इस स्कोर को उपेक्षित करने का संकेत है। | 1.0 |
रिपोर्ट कॉन्फिडेंस
वल्नेरेबिलिटी की रिपोर्ट विश्वास (आरसी) वल्नेरेबिलिटी के अस्तित्व में विश्वास के लेवल को मापता है और वल्नेरेबिलिटी के तकनीकी विवरण की विश्वसनीयता को भी मापता है।
वैल्यू | विवरण | अंक |
---|---|---|
अनकंफर्म्ड (यूसी) | अनकंफर्म्ड सोर्स, मल्टीप्ल कन्फ्लिक्टिंग सोर्स। रउमरेड वल्नेरेबिलिटी। | 0.9 |
अनकरोबोरेटेड (यूआर) | कई सोर्स जो व्यापक रूप से सहमत हैं- वल्नेरेबिलिटी के बारे में शेष अनिश्चितता का लेवल हो सकता है | 0.95 |
कंफर्म्ड (सी) | अफेक्टेड प्रोडक्ट के वेंडर या manufacturer द्वारा स्वीकार और कंफर्म्ड की गई। | 1.0 |
नोट डिफाइंड (एनडी) | यह इस स्कोर को उपेक्षित करने का संकेत है। | 1.0 |
गणना
इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ वल्नेरेबिलिटी के लिए टेम्पररी स्कोर बनाने के लिए की जाती है।
लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:
उदाहरण
ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि वेंडर को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके वल्नेरेबिलिटी के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:
मीट्रिक | वैल्यू | विवरण |
---|---|---|
एक्सप्लोइटेशन | प्रूफ ऑफ़ कांसेप्ट | बेसिक एक्सप्लोइटेशन की फंक्शनलिटी दिखाने के लिए प्रूफ ऑफ़ कांसेप्ट, नॉन-ऑटोमेटेड कोड प्रदान किया जाता है। |
रेमेडिएशन लेवल | एनवैलब्ले | वेंडर को अभी तक मिटिगेशन प्रदान करने या उचित करने का अवसर नहीं मिला है। |
रिपोर्ट कॉन्फिडेंस | अनकंफर्म्ड | वल्नेरेबिलिटी की ही रिपोर्ट की गई है |
यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का कम्पलीट वेक्टर) के टेम्पररी वेक्टर के साथ 7.3 का टेम्पररी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).
यदि वेंडर वल्नेरेबिलिटी की कंफर्म्ड करता है, तो ई: पी / आरएल: यू / आरसी: सी के टेम्पररी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।
वेंडर की ओर से टेम्पररी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक लो कर देगा, जबकि ऑफिसियल फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक अफेक्टेड सिस्टम को उचित कर दिया गया है पैच कर दिया गया है, टेम्पररी स्कोर वेंडर के कार्यों के आधार पर निश्चित लेवल से लो नहीं हो सकता है, और यदि वल्नेरेबिलिटी के लिए ऑटोमेटेड एक्सप्लोइटेशन विकसित किया जाता है तो यह बढ़ सकता है।
एनवायर्नमेंटल मेट्रिक्स
पर्यावरण मेट्रिक्स आधार और वर्तमान टेम्पररी स्कोर का उपयोग वल्नरेबल प्रोडक्ट या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में वल्नेरेबिलिटी की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।
कोलैटरल डैमेज पोटेंशियल
कोलैटरल डैमेज पोटेंशियल (सीडीपी) मीट्रिक फिजिकल प्रॉपर्टी जैसे उपकरण (और जीवन) पर पोटेंशियल लोस या इम्पैक्ट को मापता है, यदि वल्नेरेबिलिटी का एक्सप्लोइटेशन किया जाता है तो अफेक्टेड आर्गेनाईजेशन पर फाइनेंसियल इम्पैक्ट पड़ता है।
वैल्यू | विवरण | अंक |
---|---|---|
नन (एन) | प्रॉपर्टी, रेवेनुए या प्रोडक्टिविटी के लोस की कोई संभावना नहीं है | 0 |
लो (एल) | प्रॉपर्टी को माइनर लोस, या रेवेनुए या प्रोडक्टिविटी का सामान्य लोस | 0.1 |
लो-मीडियम (एलएम) | मॉडरेट लोस या डैमेज | 0.3 |
मीडियम-हाई (एमएच) | सिग्नीफिकेन्ट लोस या डैमेज | 0.4 |
हाई (एच) | कटस्ट्रोफिक लोस या डैमेज | 0.5 |
नोट डिफाइंड (एनडी) | यह इस स्कोर को उपेक्षित करने का संकेत है। | 0 |
टारगेट डिस्ट्रीब्यूशन
टारगेट डिस्ट्रीब्यूशन (टीडी) मीट्रिक पर्यावरण में वल्नरेबल प्रणालियों के अनुपात को मापता है।
वैल्यू | विवरण | अंक |
---|---|---|
नन (एन) | कोई टारगेट सिस्टम उपस्थित नहीं है, वे केवल कुछ लेबोरेटरी सेटिंग में उपस्थित हैं | 0 |
लो (एल) | 1-25% सिस्टम रिस्क में हैं | 0.25 |
मीडियम (एम) | 26–75% सिस्टम रिस्क में हैं | 0.75 |
हाई (एच) | 76-100% सिस्टम रिस्क में हैं | 1.0 |
नोट डिफाइंड (एनडी) | यह इस स्कोर को उपेक्षित करने का संकेत है। | 1.0 |
इम्पैक्ट सब्सकोर मॉडिफाइयर
तीन और मेट्रिक्स कॉन्फिडेंशियलिटी (सीआर),इंटीग्रिटी (आईआर) और अवेलेबिलिटी (एआर) के लिए स्पेशलिज़्ड सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को यूजर के पर्यावरण के अनुसार किया जा सकता है।
वैल्यू | विवरण | अंक |
---|---|---|
लो (एल) | (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर केवल सीमित प्रभाव पड़ने की संभावना है। | 0.5 |
मीडियम (एम) | (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर गंभीर प्रभाव पड़ने की संभावना है। | 1.0 |
हाई (एच) | (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर कटस्ट्रोफिक प्रभाव पड़ने की संभावना है। | 1.51 |
नोट डिफाइंड (एनडी) | यह इस स्कोर को उपेक्षित करने का संकेत है। | 1.0 |
गणना
पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पूर्व से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।
उदाहरण
यदि उपरोक्त वल्नरेबल वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और वेंडर से टेम्पररी फिक्स उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:
मीट्रिक | वैल्यू | विवरण |
---|---|---|
कोलैटरल डैमेज पोटेंशियल | मीडियम हाई | यह मान इस बात पर निर्भर करेगा कि यदि वल्नरेबल सिस्टम का एक्सप्लोइटेशन किया जाता है तो अटैककर्स किस इनफार्मेशन तक एक्सेस प्राप्त कर सकता है। इस कंडीशन में, मैं मान रहा हूं कि कुछ पर्सनल बैंकिंग इनफार्मेशन उपलब्ध है, इसलिए बैंक पर सिग्नीफिकेन्ट प्रतिष्ठात्मक इम्पैक्ट है। |
टारगेट डिस्ट्रीब्यूशन | हाई | बैंक के सभी वेब सर्वर वल्नरेबल सॉफ़्टवेयर चलाते हैं। |
कॉन्फिडेंशियलिटी की आवश्यकता | हाई | कस्टमर अपेक्षा करते हैं कि उनकी बैंकिंग इनफार्मेशन गोपनीय होगी। |
इंटीग्रिटी की आवश्यकता | हाई | अथॉरिटी के बिना फाइनेंसियल और पर्सनल इनफार्मेशन परिवर्तित करने योग्य नहीं होनी चाहिए। |
अवेलेबिलिटी की आवश्यकता | लो | ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से कस्टमर को असुविधा हो सकती है, किन्तु कटस्ट्रोफिक नहीं। |
यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए अफेक्टेड बैंक के व्यवसाय के संदर्भ में सिग्नीफिकेन्ट वल्नेरेबिलिटी है।
वर्जन 2 की आलोचना
कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।
रिस्क आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और रिस्क प्रोफाइल की वुलनेराबिलिटीज़ को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को वल्नेरेबिलिटी के त्रुटिहीन इम्पैक्ट के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
ऑफिसियल सीवीएसएस विनिर्देशों में पार्शियल और कम्पलीट के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के लिए पार्शियल + का नया मीट्रिक मूल्य प्रस्तुत किया।[10]
वर्जन 3
इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस वर्जन 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।[11]
कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), लो (0.1-3.9), मीडियम (4.0-6.9), हाई (7.0-8.9), और सीरियस (9.0-10.0) की शाब्दिक गंभीरता रेटिंग[12] को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे .[13]
वर्जन 2 से परिवर्तन
बेस मेट्रिक्स
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को वुलनेराबिलिटीज़ को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन वुलनेराबिलिटीज़ का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर अटैकएड करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही वल्नेरेबिलिटी के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी (C, I, A) मेट्रिक्स को सीवीएसएसv2 के पार्शियल, कम्पलीट के स्थान पर कोई नहीं, लो, या हाई स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर वल्नेरेबिलिटी के इम्पैक्ट को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस वल्नेरेबिलिटी का दोहराए जाने योग्य एक्सप्लोइटेशन कैसे हो सकता है; एसी हाई है यदि अटैककर्स को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।
अटैक वेक्टर (एवी) ने उन वुलनेराबिलिटीज़ का वर्णन करने के लिए फिजिकल (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें परफॉरमेंस करने के लिए डिवाइस या सिस्टम तक फिजिकल एक्सेस की आवश्यकता होती है।
टेम्पोरल मेट्रिक्स
टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।
एनवायर्नमेंटल मेट्रिक्स
सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ परिवर्तित कर दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी आर्गेनाईजेशन या कंपनी के भीतर अंतर को दर्शाना है। स्पेशलिज़्ड वातावरण में कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के वैल्यू को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है।
वर्जन 3 की आलोचना
सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में वुलनेराबिलिटीज़ को स्कोर करने में किया जाता है।[14]
वर्जन 3.1
सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस वर्जन 3.1 का टारगेट नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस वर्जन 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में फिक्स करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में फिक्स करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में फिक्स करते हैं।
फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही वुलनेराबिलिटीज़, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक टारगेट कई भिन्न-भिन्न निर्वाचन क्षेत्रों में वल्नेरेबिलिटी की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को रिस्क, उपचार और मिटिगेशन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और रिस्क सहिष्णुता होते है।
सीवीएसएस वर्जन 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, प्रिविलेज आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को ऑफिसियल आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि कॉन्फिडेंशियलिटी, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस वर्जन 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।
एडॉप्शन
सीवीएसएस के वर्जनों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा वल्नेरेबिलिटी की सेवरिटी को मापने के लिए प्राइमरी मेथड के रूप में स्वीकार किया गया है, जिनमें लो सम्मिलित हैं:
- नेशनल वल्नेरेबिलिटी डेटाबेस (एनवीडी)[15]
- ओपन सोर्स वल्नेरेबिलिटी डेटाबेस (ओएसवीडीबी)[16]
- सीईआरटी कोआर्डिनेशन सेण्टर,[17] जो विशेष रूप से सीवीएसएस v2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है।
यह भी देखें
- कॉमन वीकनेस एनयूमेरशन (सीडब्ल्यूई)
- कॉमन वल्नेरेबिलिटी और एक्सपोज़र्स (सीवीई)
- कॉमन अटैक पैटर्न एनयूमेरशन और क्लासिफिकेशन (सीएपीईसी)
संदर्भ
- ↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
- ↑ 2.0 2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
- ↑ "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
- ↑ "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18.
MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
- ↑ "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
- ↑ "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
- ↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
- ↑ "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
- ↑ {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
- ↑ "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
- ↑ "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
- ↑ "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
- ↑ "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
- ↑ "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
- ↑ "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
- ↑ "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
- ↑ "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.