Heartbleed: 5 není 10 a už vůbec ne 11 anebo snad ano?

Heartbleed jako nejhorší zranitelnost všech dob? Nesmysl. Obyčejná pětka, které se jen dostalo nebývalé mediální pozornosti, anebo je to všechno jinak?

Dle Bruce Schneiera je závažnost zranitelnosti CVE-2014-0160 aka Heartbleed „katastrofická“ a na stupnici 0 až 10, kterou používá CVSS, je to jasná 11. Jak je ale potom možné, že v NVD má tato zranitelnost přiděleno CVSS skóre 5?

Na tuhle otázku existuje jednoduchá odpověď. Protože Impact metrics, konkrétně Confidentiality Impact (C) je vyhodnocen jako Partial (C:P). Útočník může získat jen část dat z paměti, a pokud chce získat obsah celé paměti, musí útok opakovat.

V případě, že by se dalo získat obsah celé paměti najednou, hodnota Confidentiality Impact (C) by byla vyhodnocena jako Complete (C:C), a skóre by se zvýšilo na 7,8. Ostatní faktory jako Access Vector (AV), Access Complexity (AC) a Authentication nás nemusí příliš zajímat, protože už nemohou vyjít hůře.

Jestliže si teď kladete otázku, co by se tedy muselo stát, abychom se dostali na stupeň 10, tak vězte, že by se muselo jednat o takovou zranitelnost, která by umožnila narušit i dostupnost a integritu dat. Z tohoto pohledu je základní CVSS skóre skutečně 5.

Ti z vás, kteří jsou obeznámeni s touto metodikou, mohou namítnout, že se jedná o Base Score, a že jsem vůbec nebral v úvahu Temporal Score Metrics a Environmental Score Metrics, z kterého se pak počítá Overall Score Metrics. OK, pojďme tedy na to.

Řekněme, že všechny další faktory nabývají nejvyšších hodnot. Tedy, že existuje malware, který této zranitelnosti využívá (není pravda), a není k dispozici žádný patch, fix, prostě nic (není pravda) a že zranitelnost byla potvrzena (tohle jediné je pravda). V takovém případě by nám vyšlo Overal CVSS skóre, jaké překvapení, opět 5.

Při férovějším hodnocení jednotlivých faktorů, kdy připustíme, že je k dispozici oficiální fix, a ponecháme Exploitability (E) na High (E:H), tak jsme závažnost této zranitelnosti dokonce snížili. Overall CVSS skóre je v tomto případě dokonce směšných 4,4 bodu. (Pokud bychom připustili, že neexistuje malware zneužívající této zranitelnosti, tak bychom se dostali dokonce na 4,1 bodu.)

A jdeme do finále. Zbývá nám už jen vyhodnotit Environmental Score Metrics. Řekněme, že jste společnost, pro kterou by mělo zneužití této zranitelnosti katastrofický dopad (CDP:H) a týkalo by se to všech (TD:H) a důvěrnost je pro vás skutečně zásadní (CR:H). Jaké myslíte, že vyjde CVSS skóre v takovém případě?

No, nebudeme už toto utrpení dále natahovat. Overall CVSS skóre jsme po poctivém vyplnění hodnot všech faktorů vytáhli na hezkých 7,6 bodu. Ovšem není to 10, a už vůbec ne 11.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Heartbleed: 5 není 10 a už vůbec ne 11 anebo snad ano?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: