|
|
目次 | [top] |
|
|
概要 | [top] |
|
|
CVSS Calculator | [top] |
CVSS V1.0 Calculator for Server Version (Ver1.0)
CVSS V1.0 Calculator を実行する。
Chinese
| Dutch
| English
| German
| Japanese
| Korean
| Portuguese
| Spanish
CVSS V1.0 Calculator は、次のファイル群から構成されています。
ファイル名 | 説明 |
CVSSv1.html | ScoreCalc.js を呼び出す HTML ファイル |
ScoreCalc.js | ScoreCalc.swf を呼び出す JavaScript ファイル |
ScoreCalc.swf | CVSS V1.0 Calculator for Server Version 本体 (この ScoreCalc.swf は、jvnrss サイト専用です) |
parameter.xml | CVSS V1.0 Calculator (ScoreCalc.swf) の表示言語用のパラメタファイルであり、UTF-8 で記述します。
[ 記述例:
Chinese
| Dutch
| English
| German
| Japanese
| Korean
| Portuguese
| Spanish
]
|
謝辞
JVNRSS Feasibility Study Team は下記の協力して下さった方々に深い謝意を表します。:
- Spanish: parameter.xml のスペイン語翻訳支援 paco 氏.
- Chinese: parameter.xml の中国語翻訳支援 CNCERT/CC.
- Korean: parameter.xml の韓国語翻訳支援 KrCERT/CC.
- Portuguese: parameter.xml のポルトガル語翻訳支援 Antonio Marques 氏.
- Dutch: parameter.xml のオランダ語翻訳支援 Arjen de Landgraaf 氏. [ E-Secure-IT ]
parameter.xml
|
|
|
CVSS V1.0 Calculator for Server Version (Ver1.0) (cont.)
デモをみる。
Chinese
| Dutch
| English
| German
| Japanese
| Korean
| Portuguese
| Spanish
デモでは、基本評価基準、現状評価基準、環境評価基準から算出される値が最大値となるよう ScoreCalc.swf のパラメタを次のように設定しています。
"ScoreCalc.swf ?name=CVE-9999-9999-Example &vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) &temp=(E:H/RL:U/RC:C) &env=(C:H/T:H) &g=999"
パラメタ | 説明 |
?name=CVE-9999-9999-Example | 脆弱性の識別子あるいは番号 |
&vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) | CVSS 基本評価基準のパラメタ [仕様] |
&temp=(E:H/RL:U/RC:C) | CVSS 現状評価基準のパラメタ [仕様] |
&env=(C:H/T:H) | CVSS 環境評価基準のパラメタ [仕様] |
&g=999 | CVSS Calculator のテーマ (表示の変更)
0: 円グラフ
1: 棒グラフ 1
2: 温度計
3: 棒グラフ 2
4: 審判
5: ガスメータ
6: スロットメータ
7: スタンプ
8: バルーンメータ
9: パッティング
10: ボーリング
11: 空手
上記以外: ランダムに選択する
|
|
|
|
CVSS V1.0 Calculator for Server Version (Ver1.0) (cont.)
CVSSv1 CGI を使ってみる。
Chinese
| Dutch
| English
| German
| Japanese
| Korean
| Portuguese
| Spanish
CVSSv1 CGI (cvss1.cgi) は、name=value を設定して ScoreCalc.swf を起動します。
"cvss1.cgi?name=CVE-9999-9999-Example &vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) &temp=(E:P/RL:O/RC:Co) &env=(C:M/T:H) &g=999 &lang=en"
パラメタ | 説明 |
?name=CVE-9999-9999-Example | 脆弱性の識別子あるいは番号 (利用可能な文字 a-z, A-Z, 0-9, マイナス) |
&vector=(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N) | CVSS 基本評価基準のパラメタ [仕様] |
&temp=(E:H/RL:U/RC:C) | CVSS 現状評価基準のパラメタ [仕様] |
&env=(C:H/T:H) | CVSS 環境評価基準のパラメタ [仕様] |
&g=999 | CVSS Calculator のテーマ (表示の変更)
0: 円グラフ
1: 棒グラフ 1
2: 温度計
3: 棒グラフ 2
4: 審判
5: ガスメータ
6: スロットメータ
7: スタンプ
8: バルーンメータ
9: パッティング
10: ボーリング
11: 空手
上記以外: ランダムに選択する
|
&lang=en | parameter.xml の言語選択
cn: Chinese
nl: Dutch
en: English
de: German
ja: Japanese
ko: Korean
pt: Portuguese
es: Spanish
|
|
|
|
|
|
CVSS Calculator のパラメタ | [top] |
注: 現在の CVSS Calculator のパラメタ仕様は、調査研究用に作成したものです。
今後、標準的な仕様をパラメタ仕様として採用していく予定です。
[1][2]
|
CVSS 基本評価基準 (Base Metrics)
CVSS 基本評価基準のパラメタ指定は次の通りです。
vector=(AV:[R,L]/AC:[H,L]/Au:[R,NR]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]/B:[N,C,I,A])
パラメタ | AV = AccessVector | | 攻撃元区分 |
選択値 | R = Remote | | リモートから脆弱性を攻撃可能 |
L = Local | | ローカルでのみ脆弱性を攻撃可能 |
| | | |
パラメタ | AC = Access Complexity | | 攻撃条件の複雑さ |
選択値 | H = High | | 攻撃条件の複雑さが高い |
L = Low | | 攻撃条件の複雑さが低い |
| | | |
パラメタ | Au = Authentication | | 攻撃前の認証要否 |
選択値 | R = Required | | 攻撃にあたり認証操作が必要 |
NR = Not Required | | 攻撃にあたり認証操作が不要 |
| | | |
パラメタ | C = Confidentiality Impact | | 機密性への影響(情報漏えいの可能性) |
選択値 | N = None | | 影響はない |
P = Partial | | 部分的な影響に留まる |
C = Complete | | 全面的な影響を受ける |
| | | |
パラメタ | I = Integrity Impact | | 完全性への影響(情報改ざんの可能性) |
選択値 | N = None | | 影響はない |
P = Partial | | 部分的な影響に留まる |
C = Complete | | 全面的な影響を受ける |
| | | |
パラメタ | A = Availability Impact | | 可用性への影響(業務停止の可能性) |
選択値 | N = None | | 影響はない |
P = Partial | | 部分的な影響に留まる |
C = Complete | | 全面的な影響を受ける |
| | | |
パラメタ | B = Impact Bias | | 機密性/完全性/可用性の重み付け |
選択値 | N = Normal | | 全て同じ重みである |
C = Confidentiality | | 機密性への影響度大 |
I = Integrity | | 完全性への影響度大 |
A = Availability | | 可用性への影響度大 |
| | | |
CVSS 現状評価基準 (Temporal Metrics)
CVSS 現状評価基準のパラメタ指定は次の通りです。
temp=(E:[U,P,F,H]/RL:[O,T,W,U]/RC:[U,Co,C])
パラメタ | E = Exploitability | | 攻撃される可能性 |
選択値 | U = Unproven | | 現実的な攻撃手法は存在しない |
P = Proof-of-concept | | 実証コードが存在 |
F = Functional | | 有効な攻撃コードが存在 |
H = High | | 脆弱性への攻撃が極めて容易 |
| | | |
パラメタ | RL = Remediation Level | | 利用可能な対策のレベル |
選択値 | O = Official-fix | | 公式な正式対策を利用可能 |
T = Temporary-fix | | 公式な暫定対策を利用可能 |
W = Workaround | | 非公式な解決法を利用可能 |
U = Unavailable | | 利用可能な解決策がない |
| | | |
パラメタ | RC = Report Confidence | | 脆弱性情報の信頼性 |
選択値 | U = Unconfirmed | | 未確認の情報源のみ |
Co = Uncorroborated | | 複数の非公式情報で確証済み |
C = Confirmed | | 開発者が情報を確認済み |
| | | |
CVSS 環境評価基準 (Environmental Metrics)
環境評価基準のパラメタ指定は次の通りです。
env=(C:[N,L,M,H]/T:[N,L,M,H])
パラメタ | C = Collateral Damage Potential | | 二次的被害の可能性 |
選択値 | N = None | | 二次的被害は発生しない |
L = Low | | 軽微な被害や損失が発生 |
M = Medium | | 重大な被害や損失が発生 |
H = High | | 壊滅的な被害や損失が発生 |
| | | |
パラメタ | T = Target Distribution | | 影響を受ける対象システムの範囲 |
選択値 | N = None (0%) | | 影響を受けるシステムなし |
L = Low (1-15%) | | 影響は小規模に留まる |
M = Medium (16-49%) | | 影響は中規模に及ぶ |
H = High (50-100%) | | 影響は大規模に及ぶ |
| | | |
|
[1] NIST: National Vulnerability Database CVSS Scoring, http://nvd.nist.gov/cvss.cfm?vectorinfo
[2] NIST: CVSS v2 Vector Definitions, http://nvd.nist.gov/cvss.cfm?vectorinfov2
|
|
|
JVNRSS と CVSS との連携について | [top] |
|
|
更新履歴 | [top] |
- 新規: 2006-09-17T23:33+09:00
- parameter.xml スペイン語版リリース: 2006-10-05T22:49+09:00
- リンク "NIST CVSS v2 Vector Definitions" 追加: 2006-10-08T11:09+09:00
- parameter.xml 中国語版リリース: 2006-10-10T15:02+09:00
- parameter.xml 韓国語版リリース: 2006-10-11T18:29+09:00
- 説明図 "parameter.xml" 追加: 2006-10-13T16:34+09:00
- セクション "JVNRSS と CVSS との連携について" 追加: 2006-10-13T16:34+09:00
- SIG_rdf sign を用いて parameter.xml に署名: 2006-10-14T17:30+09:00
- CVSS V1.0 PC Version (Ver1.0 rev20061014) リリース: 2006-10-29T16:22+09:00
- CVSSv1 CGI リリース:2006-11-10T11:07+09:00
- CVSS V1.0 PC Version (Ver1.0 rev20061113) リリース: 2006-11-13T22:39+09:00
- parameter.xml ポルトガル語版リリース: 2007-02-15T21:26+09:00
- CVSS V1.0 PC Version (Ver1.0 rev20070215) リリース: 2007-02-15T21:26+09:00
- CVSS V1.0 Server Version 新テーマ(10.ボーリング)追加: 2007-03-10T12:31+09:00
- CVSS V1.0 Server Version 新テーマ(11.空手)追加: 2007-03-25T01:09+09:00
- parameter.xml ドイツ語版リリース: 2007-04-21T02:30+09:00
- parameter.xml オランダ語版リリース: 2007-05-01T00:14+09:00
- CVSS V1.0 PC Version (Ver1.0 rev20070430) リリース: 2007-02-15T21:26+09:00
- 改訂 (index.02.html).: 2007-06-15T10:35+09:00
|
|
|
|
|