Názor k článku Postřehy z bezpečnosti: je tu říjen – měsíc kybernetické bezpečnosti od tzl - Jo, dodavatelé (a vlastně kdokoliv) průšvihy bagatelizují, o...

Jo, dodavatelé (a vlastně kdokoliv) průšvihy bagatelizují, o tom žádná. Na druhou stranu vidím dost i motivaci pro výzkumníky nafukovat. Kdyby to bylo od začátku objektivní tak tam asi nedohodne snížení hodnocení.

Ale i tak, když vezmu ten curl post jako příklad (a myslím že jsem viděl horší), to současné CVSS:3.1/AV:N/AC:H­/PR:N/UI:N/S:U/C:H/­I:H/A:H by pokud dobře vidím bylo stejné i pro chybu ve webové aplikaci umožňující tahat a měnit data kdykoliv (s nějakou komplikací která udělá attack complexity high, ale pořád v zásadě kdykoliv a odkudkoliv) s kolujícím veřejným exploitem.

Tohle pokud dobře vidím vyžaduje aby si oběť spouštěla curl na ne-http protokoly přes útočníkovu proxy).

Mně to riziko stejné nepřipadá, a právě k tomu by to CVSS mělo být - abych byl schopen rizika porovnávat.

Mimochodem CVSS má prostředky jak to odlišit (temporary, nebo i AV adjacent a/nebo UI required; CIA hodnotit nebudu protože jsem nekoukal na detail toho dopadu double free, ale připomínám že H je able to modify any/all files protected by the impacted component. ).

4. 10. 2023, 11:25 editováno autorem komentáře