CVSS v3.1

no extension

前回の記事を書いてて気がついたのだが CVSSv3 のバージョンが 3.1 に上がってるぢゃん。

たとえば CVE-2020-0601 の CVSS ベクタは

  • CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
  • CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

の2つが用意されている。

調べてみたら 3.1 って2019年6月にリリースされてたんだねぇ。 半年以上前の話だよ。 感度低いなぁ,私 orz

3.0 と 3.1 の仕様は以下のリンクから見れる。

差分情報がないのでひっじょーに分かりにくいのだが1,各評価基準の項目と値に変更はなく,スコア算出式のみ変更になっているようだ。 しかも変更されているのは環境評価基準(Environmental Metrics)だけのようなので,私達がよく見る基本評価基準(Base Metrics)は変更なしと見てよさそうだ。

なので上述の CVSS ベクタのスコアはいずれも 8.1 で深刻度(Severity Rating)も「重要(High)」となる。

実は Go 言語で CVSS のパッケージを作って公開しているのだが

基本評価基準しか実装してないんで大っぴらにしていない。 仕事で使いそうなら続きを作り込もうかと思っていたのだが,職業エンジニア自体が無期休業中だからねぇ(笑)

なお spiegel-im-spiegel/go-cvss については,一応 v3.1 のベクタも受け入れるようにした。

ブックマーク


  1. 少なくとも技術文書をワープロで書くのは止めてほしいのだが。最終出力は PDF でも構わないが(PDF で出力するなら PDF/A で), Markdown でも AsciiDoc でも Org-mode でもいいから,入力はプレイン・テキストで管理して欲しい。したら簡単に差分が取れるでしょ。 ↩︎