Zayıflığın Değerlendirilmesi: İşletme Geliştiricisi, CVS ve CVE'nin eleştirilerini yeniliyor
Mucidor ve Açık Kaynak Curl Komut Aracının ana geliştiricisi Daniel Stenberg, bir blog yazısında CVE ekosistemini (güvenlik açığı ve ortak sergiler) tekrar eleştirdi. Mevcut eleştirisinin odağı: CVE ile yakından bağlantılı olan CVSS (Ortak Güvenlik Açığı Skoru Sistemi).
Duyuru
Stenberg'e göre, CVSS skor sürecinin kendi içinde yanlış hakimler riski yüksek. Bununla birlikte, bu tehlike, ABD Otoritesi CISA gibi özel yetkili taleplerin mevcut tüm CVE'leri puan hesaplamalarıyla entegre edebilmesi gerçeğiyle hala daha da kötüleşmektedir.
Geçmişte, CVE'nin CVSS puanları gibi ek bilgilerin olmaması nedeniyle CVE söylentilerinin daha sonra “zenginleştirilmesi” NVD'nin (Ulusal Güvenlik Açığı Veritabanı) göreviydi. Kilidi açılmış CVE'nin büyük bir yankılarından sonra, bu esas olarak geçen yıldan beri ABD Siber Güvenlik İdaresi'nin CISA'sını kabul etti. SO -CONRED “Fornication Projesi” için bir GitHub deposunda, sistematik olarak tüm sol sesleri değil, aynı zamanda yeni sesleri de tamamlar.
CVSS'ye İptal
Stenberg geçen yıl Eylül ayında yanlış CVE olarak görüşlerinden birine karşı protesto etti. Ayrıca önceki blog öğelerinde CVSS temel eleştirisini dile getirdi.
“CVSS bizim için öldü” draması (örneğin: “sahip olduğumuz CVS'lerle”), geliştirici, Curl ekibinin yıllarca süren dört olası şiddete dayanan ayrı bir değerlendirme sistemi olduğu gerçeğiyle ilgilenir. kullanmak.
Ona göre, söz konusu donanım veya yazılım ürününün tam olarak ne zaman ve nasıl kullanıldığını ve bir istismarın nasıl etkilediğini biliyorsanız, CVSS değerlendirme kriterleri en fazla doğru sınıflandırma içindir. Tamamen farklı senaryolarda ve ortamlarda milyarlarca kez kullanılan Curl gibi bir proje için işe yaramaz.
Zorunlu Skorlar
Başlangıçta blogun sesi olan Stenberg'in aksine, CVE'ye bir CVSS nokta değerinin eklenmesi hiç de zorunlu değildir. Ve böylece CNA (CVE Numaralama Otoritesi) rolündeki Curl ekibi, yarattığı öğelerde bu bilgiler olmadan yapmakta özgür olacaktır.
Sorun şu ki, CISA görünüşe göre bu bilinçli feragat etmeye saygı duymuyor. Çünkü otorite, CVE veritabanındaki “eksik” sesleri her zaman tamamlama görevi olarak görür. Yetkili Veri Yayıncısı (ADP) rolünde, Sabit veri kapsayıcıları ve ayrıca CVE bukleleri içindeki CNA'lara danışmadan bunu yapabilir.
Görünüşe göre yüksek ve düşük keyfi
Vulnrichment ekibi için mevcut CVE için zaman dilimi, tıpkı ekibin her bir boşluğun belirli teknik detayları üzerindeki sezgisi gibi, sürekli büyüyen zayıflıklar açısından ciddi şekilde sınırlı olmalıdır.
Stenberg, ortaya çıkan hesaplama hataları için yüksek bir tehlike görür ve ölümcül nokta CVE-2024-11053'ü sağlar. Bu, Curl ekibi tarafından sistemine göre “düşük” olarak sınıflandırılmış olsa da, CISA görünüşe göre tehlikeli olduğunu düşündü ve öğe CVE'ye 9.1 (“kritik”) CVSS temel puanı ekledi. Stenberg'in protestosuna göre, otorite daha sonra ilgili puanı büyük ölçüde azalttı – 3.4'e (“Bas”).
Stenberg için bu süreç, hesaplanan puanların rastgeleliğinin ve keyfiliğinin bir göstergesidir. Ve Anlaşmadaki incelemelere “tıklayan” ve CVSS bilgisayarındaki teknik ayrıntıların daha derin bir vizyonu olmadan ezici ADP'ler için.
Geliştirici şu anda soruna bir çözüm görmüyor: Curl ekibi “CVSS dansı dans etmediğinden”, bu yanlış yargıçlar kurtulmayacak.
Topluluğun karışık tepkileri
Stenberg Post reaksiyonları onaydan temkinli eleştirilere kadar değişir. GO dili güvenlik ekibinin bir üyesi, CISAS “zenginleştirme” ile olumsuz deneyimler olduğunu doğruladı.
Diğerleri de, en azından abartılı CV'lerin temel eleştirilerini düşünün. Bir yorum, örneğin, zayıf değerlendirmenin potansiyelinin nadiren tamamen sömürüldüğünü vurgulamaktadır. Sonuçta, her yerde bulunan CVS'lerin temel puanına ek olarak, zamansal değişikliklere (zamansal metrikler) uyarlama seçenekleri veya ilgili sistemin ilgili ortamını (çevresel metrikler) de içerir. Bunlar çok nadiren kullanılır. Bir diğeri, temel puanların bir temel olarak işlevinin genellikle bir temel olarak daha iyi iletişim kurduğunu kabul eder ve önerir.
(OVW)