主教法冠/ CVE和第一/ CVSSv3 idetifying漏洞不匹配

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>、<cvss-v3-comments@first.org>、<max.heitman@citi.com>
主题:斜方/ CVE和第一/ CVSSv3 idetifying漏洞不匹配
从:Kurt Seifried <kseifried@redhat.com>
日期:2016年9月2日星期五09:46:16 -0600
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = redhat.com, mitre.org;dkim = none(消息没有签署)header.d =没有;
交货日期:2016年9月2 14:30:44星期五
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
Spamdiagnosticoutput:1:2

所以僧帽/ CVE允许交叉vulns涉及超过一个脆弱的组件。第一/ CVSSv3不出现:

可利用性指标反映了缓解和技术手段的漏洞可以利用。也就是说,他们代表的特征件事是脆弱的,我们指的是正式的脆弱的组件。另一方面,影响指标反映一个成功利用的直接后果,并代表的后果受影响的东西,我们指的是正式的影响组件。

而脆弱的组件通常是一个软件应用程序,模块,司机,等等。(或者甚至一个硬件设备),受影响的组件可能是一个软件应用程序,硬件设备或网络资源。这种潜在的脆弱性的影响测量以外的脆弱的组件,是CVSS v3.0的一个关键特性。这个属性捕获,并进一步讨论了下面的指标范围。

我希望能得到一些澄清从第一(抄送),“脆弱的组件”意味着一件事,也可以是多个组件创建vuln相交?

我们也应该有一些交叉授粉来确定/定义这些基本条款和确保我们所有在相同的页面上(像硬件,例如FPGA的融入在这桩吗?)。

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com