कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम

सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सुरक्षा भेद्यता (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए स्वतंत्र और खुला मानक तकनीकी मानक है। सीवीएसएस कमजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से कमजोर प्रणाली क्रमशः मौजूद हैं।

CVSS (CVSSv3.1) का वर्तमान संस्करण जून 2019 में जारी किया गया था।^[1]

इतिहास

2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (NIAC) द्वारा किए गए शोध ने फरवरी 2005 में CVSS वर्जन 1 (CVSSv1) को लॉन्च किया।^[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, NIAC ने भविष्य के विकास के लिए CVSS का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम (Forum_of_Incident_Response_and_Security_Teams) का चयन किया।^[3][4] उत्पादन में CVSSv1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि CVSS के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर काम अप्रैल 2005 में शुरू हुआ और अंतिम विनिर्देश जून 2007 में शुरू किया गया।^[5] आगे की प्रतिक्रिया के परिणामस्वरूप CVSS संस्करण 3 पर काम शुरू हुआ^[6] 2012 में, जून 2015 में जारी CVSSv3.0 के साथ समाप्त।^[2][7]

शब्दावली

सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है: भेद्यता के आंतरिक गुणों के लिए #बेस मेट्रिक्स

1. टेम्पोरल मेट्रिक्स उन विशेषताओं के लिए जो भेद्यता के जीवनकाल में विकसित होती हैं

कमजोरियों के लिए #पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या CVSSv2 में केवल वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

संस्करण 2

CVSSv2 के लिए संपूर्ण दस्तावेज़ीकरण FIRST से उपलब्ध है।^[8] नीचे सारांश दिया गया है।

बेस मेट्रिक्स

्सेस वेक्टर

्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।

महत्व	विवरण	अंक
स्थानीय (एल)	हमलावर के निकट या तो कमजोर प्रणाली (जैसे फायरवायर हमले) या एक स्थानीय खाते (जैसे एक विशेषाधिकार वृद्धि हमला) तक भौतिक पहुंच होनी चाहिए।	0.395
आसन्न नेटवर्क (ए)	हमलावर के निकट कमजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ हमले)।	0.646
नेटवर्क (एन)	असुरक्षित इंटरफ़ेस OSI नेटवर्क स्टैक की परत 3 या उससे ऊपर पर काम कर रहा है। इस प्रकार की कमजोरियों को अक्सर दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में एक दूरस्थ बफर अतिप्रवाह)	1.0

पहुंच जटिलता

पहुंच जटिलता (एसी) मीट्रिक बताती है कि खोजी गई भेद्यता का फायदा उठाना कितना आसान या कठिन है।

महत्व	विवरण	अंक
उच्च (एच)	विशिष्ट स्थितियाँ मौजूद हैं, जैसे एक संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है।	0.35
मध्यम (एम)	हमले के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे हमले की उत्पत्ति पर एक सीमा, या एक असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ कमजोर प्रणाली के चलने की आवश्यकता।	0.61
कम (एल)	भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो।	0.71

प्रमाणीकरण

ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब हमलावर को लक्ष्य का फायदा उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक कमजोरियों के लिए, यह मान केवल ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।

महत्व	विवरण	अंक
एकाधिक (एम)	भेद्यता के शोषण के लिए आवश्यक है कि हमलावर दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए।	0.45
एकल (एस)	भेद्यता का फायदा उठाने के लिए हमलावर को एक बार प्रमाणित करना होगा।	0.56
कोई नहीं (एन)	हमलावर को प्रमाणित करने की कोई आवश्यकता नहीं है।	0.704

प्रभाव मेट्रिक्स

गोपनीयता

गोपनीयता (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की गोपनीयता पर प्रभाव का वर्णन करता है।

महत्व	विवरण	अंक
None (N)	There is no impact on the confidentiality of the system.	0.0
Partial (P)	There is considerable disclosure of information, but the scope of the loss is constrained such that not all of the data is available.	0.275
Complete (C)	There is total information disclosure, providing access to any / all data on the system. Alternatively, access to only some restricted information is obtained, but the disclosed information presents a direct, serious impact.	0.660

ईमानदारी

सत्यनिष्ठा (I) मीट्रिक शोषित प्रणाली की अखंडता पर प्रभाव का वर्णन करता है।

महत्व	विवरण	अंक
None (N)	There is no impact on the integrity of the system.	0.0
Partial (P)	Modification of some data or system files is possible, but the scope of the modification is limited.	0.275
Complete (C)	There is total loss of integrity; the attacker can modify any files or information on the target system.	0.660

उपलब्धता

उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। हमले जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, सिस्टम की उपलब्धता को प्रभावित करते हैं।

महत्व	विवरण	अंक
None (N)	There is no impact on the availability of the system.	0.0
Partial (P)	There is reduced performance or loss of some functionality.	0.275
Complete (C)	There is total loss of availability of the attacked resource.	0.660

गणना

इन छह मेट्रिक्स का उपयोग शोषण क्षमता की गणना करने और भेद्यता के उप-स्कोर को प्रभावित करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

${\displaystyle {\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}}$

${\displaystyle {\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))}$

${\displaystyle f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}}$

${\displaystyle {\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))}$ भेद्यता के लिए CVSS वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण

बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे बंद करने की क्षमता भी सम्मिलित है:

Metric	महत्व	विवरण
Access Vector	Network	The vulnerability may be accessed from any network that can access the target system - typically the whole of the internet
Access Complexity	Low	There are no special requirements for access
Authentication	None	There is no requirement for authentication in order to exploit the vulnerability
Confidentiality	Partial	The attacker can read some files and data on the system
Integrity	Partial	The attacker can alter some files and data on the system
Availability	Complete	The attacker can cause the system and web service to become unavailable / unresponsive by shutting the system down

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा। इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी तरह से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स का मूल्य भेद्यता के जीवनकाल में बदल जाता है, क्योंकि शोषण विकसित, खुलासा और स्वचालित होता है और जैसे ही शमन और सुधार उपलब्ध होते हैं।

शोषणशीलता

शोषण क्षमता (ई) मीट्रिक शोषण तकनीकों या स्वचालित शोषण कोड की वर्तमान स्थिति का वर्णन करती है।

महत्व	विवरण	अंक
Unproven (U)	No exploit code is available, or the exploit is theoretical	0.85
Proof-of-concept (P)	Proof-of-concept exploit code or demonstration attacks are available, but not practical for widespread use. Not functional against all instances of the vulnerability.	0.9
Functional (F)	Functional exploit code is available, and works in most situations where the vulnerability is present.	0.95
High (H)	The vulnerability can be exploited by automated code, including mobile code (such as a worm or virus).	1.0
Not Defined (ND)	This is a signal to ignore this score.	1.0

उपचारात्मक स्तर

भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को कम करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।

महत्व	विवरण	अंक
Official Fix (O)	A complete vendor solution is available - either a patch or an upgrade.	0.87
Temporary Fix (T)	There is an official but temporary fix / mitigation available from the vendor.	0.90
Workaround (W)	There is an unofficial, non-vendor solution or mitigation available - perhaps developed or suggested by users of the affected product or another third party.	0.95
Unavailable (U)	There is no solution available, or it is impossible to apply a suggested solution. This is the usual initial state of the remediation level when a vulnerability is identified.	1.0
Not Defined (ND)	This is a signal to ignore this score.	1.0

रिपोर्ट विश्वास

भेद्यता की रिपोर्ट विश्वास (आरसी) भेद्यता के अस्तित्व में विश्वास के स्तर को मापता है और भेद्यता के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

मूल्य	विवरण	अंक
अपुष्ट (यूसी)	अपुष्ट स्रोत, या एकाधिक परस्पर विरोधी स्रोत। अफवाह भेद्यता।	0.9
असंपुष्ट (यूआर)	कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है	0.95
पुष्टि (सी)	प्रभावित उत्पाद के विक्रेता या निर्माता द्वारा स्वीकार और पुष्टि की गई।	1.0
परिभाषित नहीं (एनडी)	यह इस स्कोर को अनदेखा करने का संकेत है।	1.0

गणना

इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पहले से ही संबंधित वेक्टर के साथ भेद्यता के लिए अस्थायी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:

${\displaystyle {\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})}$

उदाहरण

ऊपर दिए गए उदाहरण के साथ जारी रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:

Metric	महत्व	विवरण
Exploitability	Proof-of-concept	Proof-of concept, non-automated code is provided to show basic exploit functionality.
Remediation Level	Unavailable	The vendor has not yet had the opportunity to provide a mitigation or fix.
Report Confidence	Unconfirmed	There has been a single report of the vulnerability

यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक कम कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से कम नहीं हो सकता है, और यदि भेद्यता के लिए स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।

पर्यावरण मेट्रिक्स

पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग कमजोर उत्पाद या सॉफ़्टवेयर को तैनात करने के तरीके के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, आमतौर पर प्रभावित पक्षों द्वारा।

संपार्श्विक क्षति संभावित

संपार्श्विक क्षति क्षमता (सीडीपी) मीट्रिक भौतिक संपत्ति जैसे उपकरण (और जीवन) पर संभावित नुकसान या प्रभाव को मापता है, या यदि भेद्यता का शोषण किया जाता है तो प्रभावित संगठन पर वित्तीय प्रभाव पड़ता है।

महत्व	विवरण	अंक
None (N)	No potential for loss of property, revenue or productivity	0
Low (L)	Slight damage to assets, or minor loss of revenue or productivity	0.1
Low-Medium (LM)	Moderate damage or loss	0.3
Medium-High (MH)	Significant damage or loss	0.4
High (H)	Catastrophic damage or loss	0.5
Not Defined (ND)	This is a signal to ignore this score.	0

लक्ष्य वितरण

लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में कमजोर प्रणालियों के अनुपात को मापता है।

महत्व	विवरण	अंक
None (N)	No target systems exist, or they only exist in laboratory settings	0
Low (L)	1–25% of systems at risk	0.25
Medium (M)	26–75% of systems at risk	0.75
High (H)	76–100% of systems at risk	1.0
Not Defined (ND)	This is a signal to ignore this score.	1.0

इम्पैक्ट सब्सकोर संशोधक

तीन और मेट्रिक्स गोपनीयता (सीआर), अखंडता (आईआर) और उपलब्धता (एआर) के लिए विशिष्ट सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को उपयोगकर्ताओं के पर्यावरण के अनुसार ठीक-ठाक किया जा सकता है।

महत्व	विवरण	अंक
Low (L)	Loss of (confidentiality / integrity / availability) is likely to have only a limited effect on the organisation.	0.5
Medium (M)	Loss of (confidentiality / integrity / availability) is likely to have a serious effect on the organisation.	1.0
High (H)	Loss of (confidentiality / integrity / availability) is likely to have a catastrophic effect on the organisation.	1.51
Not Defined (ND)	This is a signal to ignore this score.	1.0

गणना

पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पहले से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।

${\displaystyle {\textsf {AdjustedImpact}}=\min(10,10.41\times (1-(1-{\textsf {ConfImpact}}\times {\textsf {ConfReq}})\times (1-{\textsf {IntegImpact}}\times {\textsf {IntegReq}})\times (1-{\textsf {AvailImpact}}\times {\textsf {AvailReq}})))}$

${\displaystyle {\textsf {AdjustedTemporal}}={\textsf {TemporalScore}}{\text{ recomputed with the }}{\textsf {BaseScore}}{\text{s }}{\textsf {Impact}}{\text{ sub-equation replaced with the }}{\textsf {AdjustedImpact}}{\text{ equation}}}$

${\displaystyle {\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})}$

उदाहरण

यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

Metric	महत्व	विवरण
Collateral Damage Potential	Medium-High	This value would depend on what information the attacker is able to access if a vulnerable system is exploited. In this case I am assuming that some personal banking information is available, therefore there is a significant reputational impact on the bank.
Target Distribution	High	All of the bank's web servers run the vulnerable software.
Confidentiality Requirement	High	Customers expect their banking information to be confidential.
Integrity Requirement	High	Financial and personal information should not be changeable without authorization.
Availability Requirement	Low	Unavailability of online banking services is likely to be an inconvenience for customers, but not catastrophic.

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में महत्वपूर्ण भेद्यता है।

===संस्करण 2=== की आलोचना कई विक्रेताओं और संगठनों ने CVSSv2 के प्रति असंतोष व्यक्त किया।

जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की कमियों और विफलताओं के बारे में FIRST को सार्वजनिक पत्र प्रकाशित किया।^[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की कमजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य पेश किया।^[10]

संस्करण 3

इनमें से कुछ आलोचनाओं को दूर करने के लिए, CVSS संस्करण 3 का विकास 2012 में शुरू किया गया था। अंतिम विनिर्देश को CVSS v3.0 नाम दिया गया था और जून 2015 में जारी किया गया था। विशिष्टता दस्तावेज़ के अलावा, उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी जारी किए गए थे।^[11]

कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की मौजूदा स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), कम (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग^[12] को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे .^[13]

संस्करण 2 से परिवर्तन

बेस मेट्रिक्स

बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को कमजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का फायदा उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के ्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन कमजोरियों का फायदा उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को CVSSv2 के आंशिक, पूर्ण के बजाय कोई नहीं, कम, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि ्सेस विशेषाधिकारों को अलग मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर हमलावर को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो अलग मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन कमजोरियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स === टेम्पोरल मेट्रिक्स CVSSv2 से अनिवार्य रूप से अपरिवर्तित थे।

पर्यावरण मेट्रिक्स

CVSSv2 के पर्यावरणीय मेट्रिक्स को पूरी तरह से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।

संस्करण 3 की आलोचना

सितंबर 2015 में ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में कमजोरियों को स्कोर करने में किया जाता है।^[14]

संस्करण 3.1

CVSS के लिए मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना मौजूदा CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।

FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही कमजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक लागू होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।

सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और मौजूदा बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। CVSS के विस्तार की नई मानक विधि, जिसे CVSS ्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

दत्तक ग्रहण

सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा कमजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:

• राष्ट्रीय भेद्यता डेटाबेस | राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)^[15]
• ओपन सोर्स भेद्यता डेटाबेस | ओपन सोर्स भेद्यता डेटाबेस (OSVDB)^[16]
• सीईआरटी समन्वय केंद्र,^[17] जो विशेष रूप से CVSSv2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है

यह भी देखें

• सामान्य कमजोरी गणना (सीडब्ल्यूई)
• सामान्य भेद्यताएं और जोखिम (सीवीई)
• आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)

संदर्भ

बाहरी संबंध

• The Forum of Incident Response and Security Teams (FIRST) CVSS site
• National Vulnerability Database (NVD) CVSS site
• Common Vulnerability Scoring System v2 Calculator