CVSS

Ni kanske har missat att det pågår initiativ för att få CVSS att bli vedertaget och accepterat. Ett av de företagen som adoptera CVSS är Oracle. Men just nu känns världen rätt mycket upp och ner då deras CVSS riskmatriser verkar helt muppiga; en liten diskussion har nämnligen utbrutit om några av Team Shatter nyligen publiserade säkerhetshål:

Team Shatter hävdar att det handlar om exploiterbara buffer overflows som verkligen leder till aribitrary code execution. Om det stämmer så borde många av dom luckorna i matrisen ha värden som Partial+ eller högre, vilket skulle pika iväg riskvärderingen rejält. Men här kommer ett krux: Oracle skriver att Low complexity på att utföra attackerna, vilket jag inte förstår – default verkar de flesta paketen som är berörda inte vara grantade per default, åtminstonde i Oracle 10g som kikade lite snabbt i.

Testade att köra Local, High, Required, Partial, Partial, Partial, Normal vilket verkar motsvara vad Team Shatter’s uppgifter om vad exploiten är omsatt i standardiserade CVSS termer, under förutsättning att de inte kunnat påvisa att exploiten är fullt tillförlitliga. En trevlig CVSS-räknare ger då snabbt svaret: 3.4 (altså mer än dubbelt så allvarlig som vad Oracle räknat ut). Antar man däremot att säkerhetshålet är fullt möjligt att stabilt utnyttja till Arbitrary Code Exection (dvs man får Complete på alla tre riskomårderna – man har full kontroll över möjligheter att själa information, förstöra/förändra information, eller sänka systemet) och att Oracle har rätt i att buggen är lätt att utnyttja spikar bedömningen iväg till 6.0 (mer än fyra gånger så allvarligt som Oracles bedömning).

Summa summarum: Antingen har Team Shatter fel i sin analys, eller också är Oracles riskmatris helt befängd.

Känns som att trovärdigheten för CVSS får sig en törn när så olika graderingar på samma bugg förekommer. Vore kul att se Oracle motivera sina matriser.

Ett problem jag ser kring CVSS, är att de gjort för enkelt för sig när de tar upp i guidelines. De tar de bara upp buggar som ger arbitrary code execution som alla håller med om "vill vi inte ha!", och bedömningar utifrån det. Skall man verkligen sätta systemet på prov så skall man börja diskutera Cross-attacker, där kommer vi se djäkligt många olika åsikter. Cross Site Scripting, CSRF, där kommer åsikterna krocka – tar man hänsyn till Cross Zone problematik kanske en bugg är Complete, Complete, Complete … gör man det inte kanske man kan tycka att en bugg bara är None, Partial, None. Och vad är möjligheten att själa session id översatt till CVSS skalan egentligen?

*puh*

Neofilosofiska frågor?

Det är som ni säkert vet, viktigt att delta i världens stora politiska frågor. En av de största är: Vem är Presidenten av Internet? Jo, den som driver den sida kommer högst upp om du googlar efter "President of The Internet" Detta kan förändras från dag till dag!

I och med att den som var president idag hade en ganska tråkig sida, så valde jag att rösta på President of The Internet! Okej, inte universiums roligaste kanske, men den kombinerar ett fint hostnamn med någon neoliberal utsvävning, det är väl ändå värt min (och din) röst?

Jag måste också ha en blogg!

Tänkte slå till och ha en blogg jag med, så jag också kan rulla med de häftiga människorna på internet 😉

För närvarande är min största hobby geocaching: att toka runt i naturen med en GPS och leta efter små lådor. Riktigt kul faktiskt!

  View my Profile

Om du vill veta mer:

Fast min största hobby är nog egentligen att busa med en liten flicka vid namn Kaprifol!

Annars så är dator(o)säkerhet det jag sysslar med. Applikationssäkerhet, vanliga säkerhetshål, attacker, Regulatory Compliance, design av automatiserade kodscanningsverktyg, osv osv.

Skriver en del på Engelska Wikipedia när jag har tid och lust också. Mest om (o)säkerhet då.