並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 72件

新着順 人気順

cvssの検索結果1 - 40 件 / 72件

タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。

cvssに関するエントリは72件あります。 セキュリティsecuritytechfeed などが関連タグです。 人気エントリには 『CVSSバージョン4.0の変更点と活用可能性』などがあります。
  • CVSSバージョン4.0の変更点と活用可能性

    CVSS(Common Vulnerability Scoring System)は、脆弱性管理における基本的な仕組みとして広く利用されており、業界全体のデファクトスタンダードになっています。CVSSはFIRST(Forum of Incident Respones and Security Teams)内に設置されたCVSS-SIG(Special Interest Group)1によって策定され、2023年7月現在の最新バージョンは3.1となっています。2023年6月に次バージョンである4.0のパブリックプレビュー版2が公開されており、寄せられたコメントをレビュー・反映した後、2023年10月を目途にバージョン4.0の公開が予定されています。本稿ではパブリックプレビュー版に基づいて、現行のバージョン3.1との変更点を解説します。また、SSVC(Stakeholder-Specific

      CVSSバージョン4.0の変更点と活用可能性
    • 見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた

      「脆弱(ぜいじゃく)性管理」は企業における喫緊の課題です。しかし漢字5文字のわりには考えなければならないことが多く、どう管理するか悩まれている方やどこから手を付けるべきか分からずひとまず見て見ぬ振りをせざるを得ない方もいると思います。 脆弱性管理においては「アップデートパッチが提供されたら速やかに適用する」のがいわゆる鉄則ですが、脆弱性は日々、数え切れないほど生まれます。そしてパッチを適用するには、一通りのテストを実施しなければなりません。「セキュリティ観点からパッチを当てる必要があるとは分かってはいるもののすぐには難しい……」というのが現状なのです。まずは自分たちの組織にとって、本当に緊急の対応が必要な脆弱性と、そうでない脆弱性を区別することから始めましょう。 と言いたいのはやまやまですが、それすら非常に難しいというのが実際に手を動かすと直面する課題でしょう。緊急の脆弱性かどうかを判断す

        見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
      • 脆弱性スコアに惑わされてる?CVSSの深刻度を理解し、効果的に活用する

        本文の内容は、2022年4月20日にMiguel Hernándezが投稿したブログAre vulnerability scores misleading you? Understanding CVSS severity and using them effectively(https://sysdig.com/blog/vulnerability-score-cvss-meaning/)を元に日本語に翻訳・再構成した内容となっております。 脆弱性はどこにでもあります。セキュリティ専門家にとって、これらの脆弱性を大規模に調査し、緩和し、是正することは大変な作業です。どの組織も、すべての脆弱性を見つけて修正する能力を持っているわけではないことを心に留めておいてください。重要なのは、脆弱性とは何かを理解し、CVSSスコアの意味を解釈し、制約された時間制限や納期内でリソースの優先順位付けと有効利

          脆弱性スコアに惑わされてる?CVSSの深刻度を理解し、効果的に活用する
        • CVSSとその限界 | ドクセル

          長谷川陽介(はせがわようすけ)  セキュリティ・キャンプ協議会代表理事  (株)セキュアスカイ・テクノロジー 取締役CTO  千葉大学 非常勤講師  OWASP Kansai ボードメンバー  OWASP Japan ボードメンバー  CODE BLUEカンファレンス レビューボードメ ンバー Webブラウザー、Webアプリケーションに 関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ Vuls祭り#8 #vulsjp https://utf-8.jp/

            CVSSとその限界 | ドクセル
          • ZabbixにCVSS 9.9の「緊急」の脆弱性が見つかる 速やかなアップデートが必要

            Zabbixは2024年8月9日(現地時間)、監視ソリューション「Zabbix」に深刻な脆弱(ぜいじゃく)性があると伝えた。この脆弱性が悪用された場合、リモートコード実行の攻撃を受け、システム全体が危険にさらされる可能性がある。 Zabbixはネットワークやサーバ、仮想マシン、クラウドサービスなどのITインフラ全体をリアルタイムで監視し、パフォーマンスデータを収集・分析するオープンソースの監視ソフトウェアだ。シンプルなアプリケーションから大規模なインフラまで、さまざまなITリソースを監視するために利用されている。 ZabbixにCVSS 9.9の脆弱性 急ぎアップデートを 今回報告された脆弱性は「CVE-2024-22116」として特定されている。共通脆弱性評価システム(CVSS)v3.1のスコア値は9.9で深刻度「緊急」(Critical)に分類されている。 影響を受けるバージョンでは制

              ZabbixにCVSS 9.9の「緊急」の脆弱性が見つかる 速やかなアップデートが必要
            • FreeBSDにCVSSスコア10.0の脆弱性 現時点で回避策はないため直ちに更新を

              FreeBSDプロジェクトは2024年9月4日(現地時間)、オープンソースのUNIX系OS「FreeBSD」の深刻な脆弱(ぜいじゃく)性「CVE-2024-43102」に関するセキュリティアドバイザリ「FreeBSD-SA-24:14.umtx」を公開した。これが悪用された場合、任意のコードが実行されてシステムが侵害される可能性がある。 FreeBSDはサーバやネットワーク機器、ストレージシステムなどで広く使用されている。高度なネットワーキング機能やセキュリティ、パフォーマンスに優れており、商用利用にも適した柔軟性を持つことでも知られている。 FreeBSDにCVSSスコア10.0の脆弱性 現時点で回避策はなし CVE-2024-43102はFreeBSDの「_umtx_op(2)」システムコールの処理における問題に起因している。共通脆弱性評価システム(CVSS)V3.1のスコアは10.0

                FreeBSDにCVSSスコア10.0の脆弱性 現時点で回避策はないため直ちに更新を
              • 脆弱性管理でCVSS基本値だけに振り回されないためのメモ【CVSS v2.0編】 – Feat. Known Exploited Vulnerabilities Catalog

                ■Known Exploited Vulnerabilities Catalogとは 「Known Exploited Vulnerabilities Catalog」(以下、KEVC)は、米国土安全保障省のCISA(Cybersecurity & Infrastructure Security Agency)が2021年11月3日から公開している情報で名前の通り悪用されたことが知られている脆弱性のカタログです。このカタログに掲載されている脆弱性は2022年2月4日時点で352件で、これらは既に悪用が確認されており、かつ、アメリカの連邦政府に大きな影響を及ぼすため、対応が急がれると判断できるものです。 このカタログに掲載されている項目は以下の通りです。 CVE番号 (CVE) ベンダー/プロジェクト名 (Vendor/Product) 製品脆弱性名 (Vulnerability Name)

                  脆弱性管理でCVSS基本値だけに振り回されないためのメモ【CVSS v2.0編】 – Feat. Known Exploited Vulnerabilities Catalog
                • GitLabに「CVSS10.0」の脆弱性 直ちにアップデートを

                  GitLabのミュニティーエディションとエンタープライズエディションに「緊急」(Critical)の脆弱性が見つかった。CVSSv3.1のスコア値が「10.0」と最高値が付いているため迅速にアップデートを適用してほしい。

                    GitLabに「CVSS10.0」の脆弱性 直ちにアップデートを
                  • トレンドマイクロ製品に複数の脆弱性 認証回避、DoS攻撃、権限昇格など CVSS最大8.2

                    情報処理推進機構(IPA)は9月13日、トレンドマイクロ製品の一部に複数の脆弱性が存在するとして注意喚起した。すでに悪用を確認したものや、影響度を示すCVSS v3のベーススコアが10点中8.2(重要レベル)のものも含まれる。 脆弱性が見つかったのはエンドポイントセキュリティ製品「Trend Micro Apex One」「Trend Micro Apex One SaaS」。悪用されると(1)ログイン認証を回避される、(2)システムにログインできる第三者にDoS攻撃される、(3)管理者権限を盗まれる、(4)管理画面にログインできる第三者に任意のコードを実行される、(5)遠隔地から情報を盗まれる──といった恐れがある。 情報セキュリティ修正パッチは公開済み。IPAはできるだけ早急にパッチを適用するよう呼び掛けている。 関連記事 Microsoftの月例セキュリティ更新パッチ適用を ゼロデイ

                      トレンドマイクロ製品に複数の脆弱性 認証回避、DoS攻撃、権限昇格など CVSS最大8.2
                    • Control Web PanelにCVSSスコア9.8の脆弱性、Linuxユーザーは警戒を

                      コンピュータ情報サイトの「The Hacker News」は2023年1月12日(現地時間)、エンタープライズLinuxの管理ツールである「Control Web Panel」(CWP)に存在する脆弱(ぜいじゃく)性がサイバー攻撃者によって積極的に悪用されていると伝えた。 見つかった脆弱性はCVE-2022-44877として追跡されている。共通脆弱性評価システム(CVSS)のスコア値が9.8と評価されており、深刻度「緊急」(Critical)に分類されている。該当製品を使用している場合は直ちにアップデートを適用してほしい。

                        Control Web PanelにCVSSスコア9.8の脆弱性、Linuxユーザーは警戒を
                      • CVSS v4.0が正式に発表 新たな命名法によって精密な脆弱性評価が可能に

                        CVSS v4.0では、従来のバージョンよりも細かい基本メトリクスが提供されており、スコアリングの曖昧さの低減や脅威メトリクスの簡素化、環境固有のセキュリティ要件や補完的なセキュリティ要件の評価効果が向上している。 脆弱性評価を補足するため「Automatable」(ワーム化可能)「Recovery」(回復力)「Value Density」(価値密度)「Vulnerability Response Effort」(脆弱性対応努力)「Provider Urgency」(提供者の緊急度)など幾つかのメトリクスが追加されている。 また、CVSS v4.0における機能拡張の重要なポイントとしてOT/ICS、IoTへの適用性を高めたことなども注目される。昨今、OT/ICS、IoTはサイバー攻撃者にとって格好の標的となっており、その深刻度を適切に評価する指針が必要になっていた。 その他、CVSSは単な

                          CVSS v4.0が正式に発表 新たな命名法によって精密な脆弱性評価が可能に
                        • 「CVSS 4.0」が正式発表 ~共通脆弱性評価システムの最新バージョン/セキュリティ環境の変化に対応して評価手法を改善、OT/ICS/IoTも包摂

                            「CVSS 4.0」が正式発表 ~共通脆弱性評価システムの最新バージョン/セキュリティ環境の変化に対応して評価手法を改善、OT/ICS/IoTも包摂
                          • 【要点抽出】CVSS v4.0 - 2LoD.sec

                            CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます) なお、本ブログでは、実際のセキュリティ運用におけるCVSSの有用性や他の情報(KEV、SSVC、EPSSなど)との組み合わせみたいな話には踏み込みません。あくまでCVSS v4.0の理解に集中します。 今回はFIRSTのspecification documentとFAQから学びます。 CVSSとは?(割愛) CVSSの構成 v3.1から何が変わったのか? 各メトリクスの定義 基本メトリックグループ(Base Metric Group) 悪用可能性メトリクス(Exploitability Metrics) 影響メトリクス(Impact Metrics) 脅威メトリックグループ(Threat

                              【要点抽出】CVSS v4.0 - 2LoD.sec
                            • CVSSスコアは10.0 Juniper Networksの複数製品に重大な脆弱性

                              Juniper Networksは2024年6月27日(現地時間)、同社の複数製品に存在する重大な脆弱(ぜいじゃく)性に対応した緊急アップデートを公開した。修正された脆弱性はCVE-2024-2973として特定されており、共通脆弱性評価システム(CVSS)のスコアは10.0で深刻度は「緊急」(Critical)に分類されているため注意が必要だ。 CVSSスコアは10.0 Juniperの複数製品に重大な脆弱性 脆弱性の影響を受ける製品とプラットフォームは以下の通りだ。

                                CVSSスコアは10.0 Juniper Networksの複数製品に重大な脆弱性
                              • 日本語プログラム言語環境「なでしこ3」に複数の脆弱性 ~JVNが注意喚起/コマンドインジェクションなど3件。深刻度の評価は「CVSS v3」の基本値で最大「9.8」

                                  日本語プログラム言語環境「なでしこ3」に複数の脆弱性 ~JVNが注意喚起/コマンドインジェクションなど3件。深刻度の評価は「CVSS v3」の基本値で最大「9.8」
                                • NVIDIA製GPUディスプレイドライバーに複数の脆弱性 ~GeForceユーザーはv512.77への更新を【16:00追記】/「CVSS v3.1」のベーススコアは最大で「8.5」

                                    NVIDIA製GPUディスプレイドライバーに複数の脆弱性 ~GeForceユーザーはv512.77への更新を【16:00追記】/「CVSS v3.1」のベーススコアは最大で「8.5」
                                  • Zerologon攻撃、未認証でDC管理者権限を取得されるリスク。CVSSスコア10の深刻な脆弱性(大元隆志) - エキスパート - Yahoo!ニュース

                                    オランダのセキュリティ会社であるSecuraが「Zerologon」と名付けた攻撃が話題を集めている。「Zerologon」は特定のNetlogon認証パラメーターに0(ゼロ)を追加することによって攻撃が成立する。Windows ADやドメインコントローラとネットワーク接続が可能な状況であれば、比較的簡単に実行出来るリスクがあり、CVSSスコアも10となっている。 ■本脆弱性の要点 さまざまなフィールドに0が入力されたNetlogonメッセージを多数送信するだけで、攻撃者はADに格納されているドメインコントローラのコンピュータパスワードを変更可能になる。これを使用してドメイン管理者資格情報を取得し、元のDCパスワードを復元できる。 この攻撃の影響は非常に大きく、基本的にはローカルネットワーク(悪意のある内部関係者や、デバイスをオンプレミスのネットワークポートに接続しただけの人など)上のあら

                                      Zerologon攻撃、未認証でDC管理者権限を取得されるリスク。CVSSスコア10の深刻な脆弱性(大元隆志) - エキスパート - Yahoo!ニュース
                                    • 「ウイルスバスター クラウド」に脆弱性 ~ファイルを削除される可能性/「CVSS 3.0」の基本値は「7.8」、JVNが注意喚起

                                        「ウイルスバスター クラウド」に脆弱性 ~ファイルを削除される可能性/「CVSS 3.0」の基本値は「7.8」、JVNが注意喚起
                                      • Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク

                                        Rustセキュリティレスポンスワーキンググループは2024年4月9日(現地時間)、プログラミング言語「Rust」の標準ライブラリに不適切な引数のエスケープ処理に起因する脆弱(ぜいじゃく)性が存在すると伝えた。 Rustの標準ライブラリにCVSS 10.0の脆弱性 急ぎ対処を この脆弱性は「CVE-2024-24576」として特定されており、CVSSスコアは「10.0」で深刻度「緊急」と評価されている。この脆弱性を悪用した場合、サイバー攻撃者は任意のシェルコマンドを実行できる可能性がある。 Rustセキュリティレスポンスワーキンググループによると、この問題は「Windows」においてAPIを使ってバッチファイルを起動する際に引数を適切にエスケープ処理していないことに原因がある。サイバー攻撃者はこの脆弱性を利用してプロセスに渡される引数を使って任意のシェルコマンドを実行できる。 同ワーキンググ

                                          Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
                                        • CVSSは9.8 Ciscoのアンチウイルスエンジン「ClamAV」に脆弱性、急ぎ対処を

                                          アンチウイルスエンジン「ClamAV」に「緊急」の脆弱性が見つかった。CVSSスコア値は9.8と発表されている。ClamAVを使用しているCisco製品にもセキュリティアップデートが必要のため、急ぎ対処が求められる。

                                            CVSSは9.8 Ciscoのアンチウイルスエンジン「ClamAV」に脆弱性、急ぎ対処を
                                          • Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる

                                            Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる:セキュリティニュースアラート

                                              Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる
                                            • 「ウイルスバスター」の「Airサポート」に概念実証コード公開済みの脆弱性/CVSS 4.0の深刻度は「9.4」。修正済みのv6.0.2103に更新されているか確認を

                                                「ウイルスバスター」の「Airサポート」に概念実証コード公開済みの脆弱性/CVSS 4.0の深刻度は「9.4」。修正済みのv6.0.2103に更新されているか確認を
                                              • OutlookにCVSS 9.8、「緊急」の脆弱性 急ぎアップデートの適用を

                                                OutlookにCVSS 9.8、「緊急」の脆弱性 急ぎアップデートの適用を:セキュリティニュースアラート MicrosoftはOutlookにCVSSスコア9.8の脆弱性が存在すると伝えた。この脆弱性を悪用する動きが確認されたため、早急なアップデートの適用が望まれる。

                                                  OutlookにCVSS 9.8、「緊急」の脆弱性 急ぎアップデートの適用を
                                                • 多すぎる脆弱性に素早く適切な「トリアージ」、標準指標CVSSだけに頼っては危険

                                                  企業・団体で利用するサーバーやパソコン、ネットワーク機器などの機器やソフトウエアに見つかる脆弱性。放っておけば、攻撃者がめざとく見つけて攻撃をしかけてくる。そのスピードはここ2~3年で急速にアップした。企業は速やかな脆弱性対応が必要だ。 極端な話、自分たちが使っている全ての機器のあらゆる脆弱性に速やかに対応すれば良いことになる。だがそれは現実的に不可能な場合が多い。脆弱性の数が多いからだ。 脆弱性の件数は増加傾向にある。米国の国立標準技術研究所(NIST)が管理する脆弱性データベース NVD(National Vulnerability Database)には、日々新しい脆弱性が登録されている。2021年以降は年間2万件を超えた。2024年は5月20日時点で1万6000近く登録され、年間で初めて3万件を超える勢いで増えている。これだけ多くの脆弱性に等しく労力をかけて対応するのは非効率だ。こ

                                                    多すぎる脆弱性に素早く適切な「トリアージ」、標準指標CVSSだけに頼っては危険
                                                  • Fortinet製品にCVSS v3スコア9.6の脆弱性 直ちにパッチの適用を

                                                    Fortinetは2022年10月10日(現地時間)、PSIRT(Product Security Incident Response Team)アドバイザリで同社の複数製品に深刻度「緊急」(Critical)に分類される脆弱(ぜいじゃく)性(CVE-2022-40684)が存在すると発表した。 Fortinetは既に同脆弱性の悪用が確認されているとし、該当製品を使用している場合は直ちにパッチを適用することを推奨している。

                                                      Fortinet製品にCVSS v3スコア9.6の脆弱性 直ちにパッチの適用を
                                                    • 「脆弱性に対処する難易度」を評価可能に 最新のCVSS「CVSS 4.0」は何が違うのか

                                                      セキュリティ企業Mend.ioは2023年6月22日、同社のブログで、共通脆弱(ぜいじゃく)性評価システム「CVSS」の最新バージョン(CVSS 4.0)が公開プレビューのフェーズに入ったことを紹介した。これは、2023年6月4~9日(カナダ時間)に開催されたFIRST(Forum of Incident Response and Security Teams)の年次カンファレンスで発表された同内容の解説となる。 CVSS 4.0の主な変更点は以下の通り。 基本メトリクスの細分化 新たな測定基準が追加され、より詳細な情報を参照できる。例えば、「攻撃複雑度」(Attack Complexity)は、エクスプロイト工学の複雑さを反映している。「攻撃要件」は攻撃を可能にする脆弱なコンポーネントの前提条件を示している。 スコープ(Scope)指標の廃止 FIRSTによると、これまで使われていたスコ

                                                        「脆弱性に対処する難易度」を評価可能に 最新のCVSS「CVSS 4.0」は何が違うのか
                                                      • 「Fortinet FortiSIEM」にCVSS v3.1スコア10の脆弱性 初期パッチで修正漏れ ただちに確認を

                                                        「Fortinet FortiSIEM」にCVSS v3.1スコア10の脆弱性 初期パッチで修正漏れ ただちに確認を:セキュリティニュースアラート 「Fortinet FortiSIEM」にCVSS v3.1のスコア10.0脆弱性が見つかった。初期の修正パッチは不十分で類似のセキュリティ脆弱性に対して対応できていなかったと指摘した。簡単に脆弱性を悪用できるため注意が必要だ。該当する製品を使用している場合には確認を行うことが望まれる。

                                                          「Fortinet FortiSIEM」にCVSS v3.1スコア10の脆弱性 初期パッチで修正漏れ ただちに確認を
                                                        • NVIDIA製GPUドライバーに7件の脆弱性 ~最新「GeForce」ドライバーへの更新を/「CVSS v3.1」のベーススコアは最大で「8.2」

                                                            NVIDIA製GPUドライバーに7件の脆弱性 ~最新「GeForce」ドライバーへの更新を/「CVSS v3.1」のベーススコアは最大で「8.2」
                                                          • Ciscoルーターに見つかったCVSS9.0の脆弱性 アップデートは提供予定なし

                                                            Cisco Systemsは小規模ビジネス向けのルーターに複数の脆弱性が存在することを伝えた。本稿公開時点では、修正用のアップデートの提供は予定されていない。該当製品を使用している場合は、推奨される緩和策を適用してほしい。

                                                              Ciscoルーターに見つかったCVSS9.0の脆弱性 アップデートは提供予定なし
                                                            • LinuxカーネルにCVSS10.0の脆弱性 SMBサーバでリモート実行のリスク

                                                              Trend Micro傘下の脆弱(ぜいじゃく)性発見コミュニティーZero Day Initiative(以下、ZDI)は2022年12月22日(現地時間)、Linuxカーネルでファイル共有関連の機能を提供する「ksmbd」にリモートコード実行の脆弱性が存在すると伝えた。 同脆弱性は共通脆弱性評価システム(CVSS)のスコア値が10.0と評価されており、深刻度「緊急」(Critical)に分類されている。該当機能を使用している場合、直ちに情報を確認するとともに、迅速に対処してほしい。

                                                                LinuxカーネルにCVSS10.0の脆弱性 SMBサーバでリモート実行のリスク
                                                              • 「VISS」はCVSSとどう違う? ZVCが新たな脆弱性評価フレームワークを公開

                                                                「VISS」はCVSSとどう違う? ZVCが新たな脆弱性評価フレームワークを公開:セキュリティニュースアラート ZVCは脆弱性を評価するスコアリングシステム「Vulnerability Impact Scoring System(VISS) version 1.0.0」を公開した。こうした評価制度のデファクトスタンダードであるCVSSとは何が異なるのか。

                                                                  「VISS」はCVSSとどう違う? ZVCが新たな脆弱性評価フレームワークを公開
                                                                • Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か

                                                                  Red Hatは2024年3月29日(現地時間、以下同)、最新バージョンの「XZ Utils」に不正アクセスを意図した悪意あるコードが含まれていたと伝えた。 CVSS v3スコア「10.0」 複数のLinuxディストリビューションに深刻な影響 悪意あるコードはXZ Utilsのバージョン5.6.0および5.6.1に含まれているとされており、「CVE-2024-3094」として特定されている。共通脆弱性評価システム(CVSS) v3のスコア値は「10.0」で深刻度「緊急」(Critical)に分類されている。 XZ Utilsはファイルの圧縮や解凍を実行するツールだ。効率的な圧縮アルゴリズムを提供しており、複数のLinuxディストリビューションなどで採用されている。 Red Hatによると、XZ Utilsのバージョン5.6.0および5.6.1には悪意あるコードが難読化された状態で仕込まれて

                                                                    Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か
                                                                  • Symantec社のエンドポイント製品に複数の脆弱性、修正プログラムが公開/深刻度の最高で“CVSS v3”の基本値は“7.8”

                                                                      Symantec社のエンドポイント製品に複数の脆弱性、修正プログラムが公開/深刻度の最高で“CVSS v3”の基本値は“7.8”
                                                                    • Windows TCP/IPにCVSS 9.8の脆弱性 広範囲に影響を及ぼすため要注意

                                                                      Microsoftは2024年8月13日(現地時間)、複数の「Windows」製品に影響を及ぼす深刻な脆弱(ぜいじゃく)性があることを発表した。Windows TCP/IPスタックに存在する欠陥とされ、これを悪用された場合、攻撃者によるリモートコード実行が可能になる恐れがある。 Windows製品にCVSS 9.8の脆弱性 広範囲に影響を及ぼすため要注意 この脆弱性は「CVE-2024-38063」として追跡されており、共通脆弱性評価システム(CVSS) v3.1のスコア値は9.8、深刻度「緊急」(Critical)に分類されている。MicrosoftはCVE-2024-38063について悪用される可能性が高いとしており、ユーザーに注意喚起している。 この脆弱性の影響を受けるWindows製品は多岐にわたる。対象となるWindows製品は以下の通りだ。 Windows 11 Version

                                                                        Windows TCP/IPにCVSS 9.8の脆弱性 広範囲に影響を及ぼすため要注意
                                                                      • CocoaPodsにCVSSスコア10.0の脆弱性 広範囲に影響が及ぶ恐れ

                                                                        E.V.A Information Securityは2024年7月1日(現地時間)、「iOS」向けのライブラリ管理ツール「CocoaPods」に複数の重大な脆弱(ぜいじゃく)性が存在すると伝えた。 これらの脆弱性は「CVE-2024-38368」「CVE-2024-38366」「CVE-2024-38367」として特定されており、これらを悪用されるとGoogleやGitHub、Amazonなどが管理するプロジェクトの依存関係に影響を及ぼす可能性がある。特にCVE-2024-38366のCVSSスコアは10.0と評価されているため注意が必要だ。 CVSSスコアは10.0 重大なソフトウェアサプライチェーンのリスク 発見された脆弱性は以下の通りだ。 CVE-2024-38368(CVSSスコア:9.3、深刻度:Critical): 2014年にtrunkサーバに移行したことによる影響とされて

                                                                          CocoaPodsにCVSSスコア10.0の脆弱性 広範囲に影響が及ぶ恐れ
                                                                        • 話題の「EPSS」は「CVSS」と何が違うのか? 使い分けるべきケースを紹介

                                                                          EPSSは共通脆弱性評価システム(CVSS)やCVEなど複数の指標を基に、今後30日間で悪用される確率の日時推定値を示す。1000以上の変数と機械学習を使ってこの予測は微調整される。スコア値は脆弱性の修復に優先順位を付けるために設計されている。 業界では脆弱性のスコア値としてCVSSがデファクトスタンダードのポジションにある。このスコアは十分に機能しているが危険性の論理値を示すものであり、実際のリスクよりも高いスコアが付きがちで、企業が対処しなければならない脆弱性の数が多くなりすぎる点が課題だ。また、CVSSのスコア値が低いものであっても簡単に使用できるエクスプロイトが存在する場合は、そのリスクはスコア値以上に高いものになるという課題もある。 Mend.ioはCVSSとEPSSの使い分けとして以下のアドバイスを送った。

                                                                            話題の「EPSS」は「CVSS」と何が違うのか? 使い分けるべきケースを紹介
                                                                          • CVSS(共通脆弱性評価システム)3.0から3.1への変更点

                                                                            CVSS(共通脆弱性評価システム)3.0から3.1への変更点:OpenSCAPで脆弱性対策はどう変わる?(7) 本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CVSS 3.0から3.1への変更点について。 OSSセキュリティ技術の会の面和毅です。本連載「OpenSCAPで脆弱性対策はどう変わる?」では、実質的にグローバルスタンダードの「SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)」、およびそれを基にシステム構成や脆弱(ぜいじゃく)性の検査を行うためのOSS(オープンソースソフトウェア)ツール「OpenSCAP」や、その周辺の技術、用語などを紹介してい

                                                                              CVSS(共通脆弱性評価システム)3.0から3.1への変更点
                                                                            • Cisco ExpresswayにCVSS9.6の脆弱性 回避策はないため急ぎアップデートを

                                                                              Cisco ExpresswayにCVSS9.6の脆弱性 回避策はないため急ぎアップデートを:セキュリティニュースアラート CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」(Critital)と評価されている。

                                                                                Cisco ExpresswayにCVSS9.6の脆弱性 回避策はないため急ぎアップデートを
                                                                              • CVSSに代わる脆弱性の評価手法「SSVC」とは|迅速な脆弱性対応を目指して

                                                                                発見されている脆弱性の数が年々増えていることを皆様ご存じでしょうか。以下のグラフをご覧ください。 このグラフは、「CVSS v2」という評価手法を使って、脆弱性の重大度合いを分類したグラフです。現在は、CVSS v2の改良版である「CVSS v3」が主流になっているため、2022年7月を境にNVDではCVSS v2の集計を中止しており、2022年の脆弱性の数が低くなっています。しかし、近年の傾向を考慮すると、非常に多くの脆弱性が発見されていると推測できます。 多くの脆弱性を正確に判断し対応することが求められている一方で、CVSSを用いた対応に課題があることもわかってきています。 本稿では、CVSSに代わる脆弱性の評価手法「SSVC」についてご紹介します。 図1.2013年から2022年までの脆弱性数の推移[1] 出所)NVD[2]のCVSS Severity Distribution Ov

                                                                                • Blog|脆弱性の深刻度をセルフチェック CVSS

                                                                                  CVSS スコアの判定に大きく関わる要素CVSS スコアの判定には以下の要素が大きく影響してきます。 機密性(Confidentiality Impact)機密性(Confidentiality)は、対象の脆弱性が攻撃された際に、情報をどの程度漏洩するかを評価する項目です。 たとえば何も漏洩しない脆弱性であればこの項目は該当せず、逆に重要なデータの多くが漏洩する場合は「全面的に機密性への影響がある」といった評価がなされます。 完全性(Integrity Impact)完全性(Integrity)はシステム上の情報をどの程度改ざんすることが可能であるかを評価します。 たとえばネットワーク上のデータを途中で書き換えるケースや、ファイルシステム上にあるデータを直接書き換えるケースなどが、脆弱性を介してできるようであれば完全性に該当します。 この問題は「どの程度の情報を改ざんできるか」が評価軸とな

                                                                                    Blog|脆弱性の深刻度をセルフチェック CVSS

                                                                                  新着記事