共通脆弱性評価システムCVSS v3概説

CVSS(Common Vulnerability Scoring System)
～脆弱性の深刻度を評価するための指標～

共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会(NIAC: National Infrastructure Advisory Council)のプロジェクトで2004年10月に原案が作成されました。

その後、CVSSの管理母体としてFIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)(*1)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。CVSS v3(*2)は、仮想化やサンドボックス化などが進んできていることから、利用状況の変化を取り込んだ仕様とすべく、2012年6月から検討が始まったものです。

IPAは、CVSS-SIGに参画しており、これまでJVN脆弱性対策機械処理基盤の整備の一環として、脆弱性対策情報ポータルサイトJVN(*3)、脆弱性対策情報データベースJVN iPedia(*4)や脆弱性関連情報の調査結果のウェブサイトでのCVSS v2基本値の公表、CVSS計算ソフトウェアの多国語版として、CVSS v2版を提供してきました(*5)。また、CVSS v3の仕様検討にも取り組んできました。

本資料はFIRSTから2015年6月10日に公開されたCVSS v3の資料を基に作成しました。詳細は、CVSS-SIGの『Common Vulnerability Scoring System v3.0: Specification Document』(*2)を参照下さい。

1. 概要

1.1 CVSSとは

CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。

CVSSでは次の3つの基準で脆弱性を評価します。

(1)基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、『機密性(Confidentiality Impact)」、『完全性(Integrity Impact)」、『可用性(Availability Impact)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値(Base Score)を算出します。この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。

(2)現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値(Temporal Score)を算出します。この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。

(3)環境評価基準(Environmental Metrics)
ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。脆弱性の対処状況を評価し、CVSS環境値(Environmental Score)を算出します。この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユーザ毎に変化します。ユーザが脆弱性への対応を決めるために評価する基準です。

1.2 v2とv3との違いについて

2007年にリリースされたバージョン2は、攻撃対象となるホストやシステムにおいての『脆弱性による深刻度」を評価していましたが、仮想化やサンドボックス化などが進んできていることから、コンポーネント単位で評価する手法を取り込んだ仕様となっています。

コンポーネント単位で評価する手法の採用

CVSS v3では、脆弱性の深刻度を評価するために、攻撃の難易度を評価する項目(攻撃元区分、攻撃条件の複雑さ、必要な特権レベル、ユーザ関与レベル)と、攻撃による影響を評価する項目(機密性への影響、完全性への影響、可用性への影響)を分けて評価する手法を採用しています。

攻撃の難易度を評価する項目については、攻撃者がソフトウェアの脆弱性を悪用して攻撃できる対象(以下、コンポーネント)を対象範囲としています(これを、脆弱想定範囲：Vulnerable Componentと呼びます)。

脆弱性の影響範囲拡大の加味

攻撃による影響を評価する項目(機密性への影響、完全性への影響、可用性への影響)は、脆弱性を悪用された場合に及ぶ影響範囲のことです(これを、影響想定範囲：Impacted Componentと呼びます)。影響想定範囲が、コンポーネントに留まる場合(脆弱想定範囲=影響想定範囲)もありますし、コンポーネント以外にも広がる場合(脆弱想定範囲!=影響想定範囲)もあります。コンポーネント以外にも広がる事例としては、クロスサイトスクリプティングのように、Webアプリケーションに存在する脆弱性が、Webアプリケーション利用者のPCのCIAに影響する事例や、ゲストOSに存在する脆弱性が、ホストOSのCIAに影響する事例が挙げられます。

CVSS v3では、基本評価基準において脆弱性の影響範囲拡大を加味するため、スコープという評価項目を導入しました。『スコープ変更なし』は、脆弱性の影響がコンポーネントに留まる場合(脆弱想定範囲=影響想定範囲)であり、『スコープ変更あり』は、脆弱性の影響がコンポーネント以外にも広がる場合(脆弱想定範囲!=影響想定範囲)となります。また、攻撃による影響を評価する項目については、直接的な影響に主眼をおいて評価するようになりました。

基本評価基準の細分化

CVSS v3では、新たに、『必要な特権レベル』、『ユーザ関与レベル』を導入しました。また、削除された『攻撃前認証要否』については、『必要な特権レベル』の一部として評価することになりました。

環境評価基準のアプローチの変更

コンポーネント単位で評価する手法の採用にあわせて、環境評価基準のアプローチが大きく変更されました。CVSS v2の環境評価基準では、『二次被害』、『システム範囲』項目にみられるように、攻撃対象となるホストやシステム全般への影響を評価していました。CVSS v3の環境評価基準では、攻撃の難易度を評価する項目、攻撃による影響を評価する項目を実状に合わせて再評価するという評価手法を採用しています。例えば、Webサーバのプログラムに『攻撃元区分＝ネットワーク』となる脆弱性が存在したとします。ここで、実システムにおいて、サブネットワーク単位のファイアウォールによってWebサーバへのアクセスが制限されていた場合、『攻撃元区分＝隣接』と再評価することになります。

2. 脆弱性評価項目

2.1 基本評価基準(Base Metrics)

2.1.1. 攻撃元区分(AV：Attack Vector)

脆弱性のあるコンポーネントをどこから攻撃可能であるかを評価します。

2.1.2. 攻撃条件の複雑さ(AC：Attack Complexity)

脆弱性のあるコンポーネントを攻撃する際に必要な条件の複雑さを評価します。

2.1.3. 必要な特権レベル(PR：Privileges Required)

脆弱性のあるコンポーネントを攻撃する際に必要な特権のレベルを評価します。

2.1.4. ユーザ関与レベル(UI：User Interaction)

脆弱性のあるコンポーネントを攻撃する際に必要なユーザ関与レベルを評価します。

2.1.5. スコープ(S：Scope)

脆弱性のあるコンポーネントへの攻撃による影響範囲を評価します。

1. 注)
   スコープを評価する際には、計算機資源に対する管理権限の範囲(オーソリゼーションスコープ；Authorization Scope)という概念を考慮する必要があります。例えば、脆弱性のあるコンポーネント(ソフトウェアA)を攻撃し、その影響が他のコンポーネント(ソフトウェアB)に及んだとしても、同じオーソリゼーションスコープ内にあれば、「スコープ変更なし」となります。一方、脆弱性のあるコンポーネント(ソフトウェアHやX)を攻撃した結果、他のオーソリゼーションスコープにある他のコンポーネント(ソフトウェアIやY)に及んだ場合には、同じホスト内であっても「スコープ変更あり」となります。

なお、スコープ変更あり(全組合せの平均値：6.00)の場合、スコープ変更なし(全組合せの平均値：4.99)に比べて、評価値が1.2倍高くなります。

2.1.6. 機密性への影響(情報漏えいの可能性、C：Confidentiality Impact)

脆弱性を攻撃された際に、対象とする影響想定範囲の情報が漏えいする可能性を評価します。

1. 注）
   v3 では、影響を受ける範囲ではなく、重要な情報に対する影響の有無を判定するように変更されています。v3 の基本値を算出する際には、重要な情報に対する影響の有無で判定してください。

2.1.7. 完全性への影響(情報改ざんの可能性、I：Integrity Impact)

脆弱性を攻撃された際に、対象とする影響想定範囲の情報が改ざんされる可能性を評価します。

1. 注）
   v3 では、影響を受ける範囲ではなく、重要な情報に対する影響の有無を判定するように変更されています。v3 の基本値を算出する際には、重要な情報に対する影響の有無で判定してください。

2.1.8. 可用性への影響(業務停止の可能性、A：Availability Impact)

脆弱性を攻撃された際に、対象とする影響想定範囲の業務が遅延・停止する可能性を評価します。

2.2 現状評価基準(Temporal Metrics)

2.2.1. 攻撃される可能性(E：Exploit Code Maturity)

攻撃コードや攻撃手法が実際に利用可能であるかを評価します。

2.2.2. 利用可能な対策のレベル(RL：Remediation Level)

脆弱性の対策がどの程度利用可能であるかを評価します。

2.2.3. 脆弱性情報の信頼性(RC：Report Confidence)

脆弱性に関する情報の信頼性を評価します。

2.3 環境評価基準(Environmental Metrics)

2.3.1. 対象システムのセキュリティ要求度(CR、IR、AR：Security Requirements)

要求されるセキュリティ特性に関して、その該当項目(『機密性(C)』、『完全性(I)』、『可用性(A)』)を重視する場合、その該当項目を高く評価します。
該当項目毎に、『機密性の要求度(Confidentiality Requirement：CR)』、『完全性の要求度(Integrity Requirement：IR)』、『可用性の要求度(Availability Requirement：AR)』を評価します。

2.3.2. 環境条件を加味した基本評価の再評価(Modified Base Metrics)

攻撃の難易度を評価する項目、攻撃による影響を評価する項目を実状に合わせて再評価します。実状に合わせた再評価は、現時点での利用環境に対して再評価したり、緩和策や対策後の利用環境に対して再評価したりすることになります。

緩和策後の攻撃元区分 (MAV：Modified Attack Vector)

脆弱性のあるコンポーネントをどこから攻撃可能であるかを再評価します。

• 未評価(X)
• ネットワーク(N)
• 隣接(A)
• ローカル(L)
• 物理(P)

緩和策後の攻撃条件の複雑さ (MAC：Modified Attack Complexity)

脆弱性のあるコンポーネントを攻撃する際に必要な条件の複雑さを再評価します。

• 未評価(X)
• 低(L)
• 高(H)

緩和策後の必要な特権レベル (MPR：Modified Privileges Required)

脆弱性のあるコンポーネントを攻撃する際に必要な特権のレベルを再評価します。

• 未評価(X)
• 不要(N)
• 低(L)
• 高(H)

緩和策後のユーザ関与レベル (MUI：Modified User Interaction)

脆弱性のあるコンポーネントを攻撃する際に必要なユーザ関与レベルを再評価します。

• 未評価(X)
• 不要(N)
• 要(R)

緩和策後のスコープ (MS：Modified Scope)

脆弱性のあるコンポーネントへの攻撃による影響範囲を再評価します。

• 未評価(X)
• 変更なし(U)
• 変更あり(C)

緩和策後の機密性への影響 (MC：Modified Confidentiality Impact)

脆弱性を攻撃された際に、対象とする影響想定範囲の情報が漏えいする可能性を再評価します。

• 未評価(X)
• 高(H)
• 低(L)
• なし(N)

緩和策後の完全性への影響 (MI：Modified Integrity Impact)

脆弱性を攻撃された際に、対象とする影響想定範囲の情報が改ざんされる可能性を再評価します。

• 未評価(X)
• 高(H)
• 低(L)
• なし(N)

緩和策後の可用性への影響 (MA：Modified Availability Impact)

脆弱性を攻撃された際に、対象とする影響想定範囲の業務が遅延・停止する可能性を再評価します。

• 未評価(X)
• 高(H)
• 低(L)
• なし(N)

3. 値の算出方法

CVSSでは、(1)脆弱性の技術的な特性を評価する基準(基本評価基準：Base Metrics)、(2)ある時点における脆弱性を取り巻く状況を評価する基準(現状評価基準：Temporal Metrics)、(3)利用者環境における問題の大きさを評価する基準(環境評価基準：Environmental Metrics)を順番に評価していくことで、脆弱性の深刻度を0(低)～10.0(高)の数値で表します。

(1)深刻度レベル分け
　CVSS v3では、深刻度レベル分けを次のように設定しています。

3.1 基本評価基準(Base Metrics)

• (1)影響度
  • 調整前影響度 = 1 - (1 - C)×(1 - I)×(1 - A)　…式(1)
    影響度(スコープ変更なし)= 6.42×調整前影響度　…式(2)
    影響度(スコープ変更あり)= 7.52×(調整前影響度 - 0.029) - 3.25×(調整前影響度 - 0.02)^15　…式(3)

• (2)攻撃容易性
  • 攻撃容易性 = 8.22×AV×AC×PR×UI　…式(4)

• (3)基本値
  • 影響度がゼロ以下の場合
    基本値 = 0　…式(5)
  • 影響度がゼロよりも大きい場合
    スコープ変更なし
    基本値 = RoundUp1(min [(影響度＋攻撃容易性), 10])　…式(6)
    (小数点第2位切り上げ)
  • スコープ変更あり
    基本値 = RoundUp1(min [(1.08×(影響度＋攻撃容易性)), 10])　…式(7)
    (小数点第2位切り上げ)

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

3.2 現状評価基準(Temporal Metrics)

• (1)現状値
  • 現状値 = RoundUp1(基本値×E×RL×RC)　…式(8)
    　　　　　　(小数点第2位切り上げ)

攻撃される可能性(E)

利用可能な対策のレベル(RL)

脆弱性情報の信頼性(RC)

3.3 環境評価基準(Environmental Metrics)

• (1)緩和策後影響度
  • 緩和策後調整前影響度 = min [(1 -(1 - MC×CR)×(1 - MI×IR)×(1 - MA×AR)), 0.915]　…式(9)
    　緩和策後影響度(スコープ変更なし)= 6.42×緩和策後調整前影響度　…式(10)
    　緩和策後影響度(スコープ変更あり)= 7.52×(緩和策後調整前影響度 - 0.029) - 3.25×(緩和策後調整前影響度 - 0.02)^15　…式(11)
• (2)緩和策後攻撃容易性
  • 緩和策後攻撃容易性 = 8.22×MAV×MAC×MPR×MUI　…式(12)
• (3)環境値
  • 緩和策後影響度がゼロ以下の場合
    　　環境値 = 0　…式(13)
  • 緩和策後影響度がゼロよりも大きい場合
    　　スコープ変更なし
    　　緩和策後基本値 = RoundUp1(min [(緩和策後影響度＋緩和策後攻撃容易性), 10])
    　　環境値 = RoundUp1(緩和策後基本値×E×RL×RC)　…式(14)
    　　(小数点第2位切り上げ)
  • スコープ変更あり
    　　緩和策後基本値 = RoundUp1(min [(1.08×(緩和策後影響度＋緩和策後攻撃容易性)), 10])
    　　環境値 = RoundUp1(緩和策後基本値×E×RL×RC)　…式(15)
    　　(小数点第2位切り上げ)

対象システムのセキュリティ要求度(CR、IR、AR)

• 緩和策後の攻撃元区分(MAV)
• 緩和策後の攻撃条件の複雑さ(MAC)
• 緩和策後の必要な特権レベル(MPR)
• 緩和策後のユーザ関与レベル(MUI)
• 緩和策後のスコープ(MS)
• 緩和策後の機密性への影響(MC)
• 緩和策後の完全性への影響(MI)
• 緩和策後の可用性への影響(MA)

評価結果に対応する値は、基本評価基準
と同一です。なお、未評価を選択した場合には、
基本評価基準での評価結果を参照すること
になります。

例：攻撃元区分(AV)＝ネットワーク(N)、
緩和策後の攻撃元区分(MAV)＝未評価(X)を
選択した場合、環境値は、緩和策後の攻撃元
区分(MAV)＝ネットワーク(N)として算出します。

4 パラメーターの短縮表記

CVSS v2に関する情報を眺めていると、(AV:N/AC:L/Au:N/C:P/I:P/A:P)のような表記を見かけることがあります。これは、CVSSのパラメーターが短縮表記されたものです。CVSS v3でも同様な表記が可能となっています。

CVSS v3では、先頭にバージョン3であることを示すプレフィックスCVSS:3.0の後に、パラメーターの短縮表記として、各評価の項目とその選択肢を記載します。例えば攻撃元区分の項目名はAV、選択肢はローカル：L、隣接ネットワーク：A、ネットワーク：N、物理：Pです。(CVSS:3.0/AV:N/AC:L/ PR:N/S:U/C:L/I:L/A:L)は、『CVSSバージョン3.0で、攻撃元区分：ネットワーク、攻撃条件の複雑さ：低、特権レベル：不要、スコープ：変更なし、機密性/完全性/可用性への影響：低』を意味します。

IPAが提供するCVSS v3計算ソフトウェアは、パラメーターの短縮表記されたデータを取り込むことができます。

https://jvndb.jvn.jp/cvss/v3/ScoreCalc3.swf?id=JVNDB-2015-000000&　　(下行につづく)
vector=CVSS:3.0/AV:A/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L/E:P/RL:T/RC:R/　　(〃)
CR:M/IR:M/AR:M/MAV:A/MAC:L/MPR:L/MUI:R/MS:C/MC:L/MI:L/MA:L&lang=ja

5. 評価事例

5.1 CVE-2013-1937(JVNDB-2013-002247)

• https://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-002247.html

• [タイトル]
  • phpMyAdminのtbl_gis_visualization.phpにおけるクロスサイトスクリプティングの脆弱性
• [概要]
  • phpMyAdminのtbl_gis_visualization.phpには、クロスサイトスクリプティングの脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:M/Au:N/C:N/I:P/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.2 CVE-2013-0375(JVNDB-2013-001148)

• https://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001148.html

• [タイトル]
  • Oracle MySQLのMySQL ServerにおけるServer Replicationの処理に関する脆弱性
• [概要]
  • Oracle MySQLのMySQL Serverには、Server Replicationに関する処理に不備があるため、機密性および完全性に影響のある脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:L/Au:S/C:P/I:P/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.3 CVE-2014-3566(JVNDB-2014-004670)

• https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004670.html

• [タイトル]
  • OpenSSLおよびその他の製品で使用されるSSLプロトコルにおける平文データを取得される脆弱性
• [概要]
  • OpenSSLおよびその他の製品で使用されるSSLプロトコルは、非決定的なCBCパディングを使用するため、平文データを取得される脆弱性が存在します。本脆弱性は、"POODLE"と呼ばれています。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:M/Au:N/C:P/I:N/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.4 CVE-2012-1516(JVNDB-2012-002240)

• https://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-002240.html

• [タイトル]
  • VMware ESXiおよびESXのVMXプロセスにおけるサービス運用妨害(DoS)の脆弱性
• [概要]
  • VMware ESXiおよびESXのVMXプロセスは、RPCコマンドを適切に処理しないため、サービス運用妨害(メモリの上書きおよびプロセスクラッシュ)状態となる、またはホストOS上の任意のコードを実行される脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:L/Au:S/C:C/I:C/A:C
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.5 CVE-2009-0783(JVNDB-2009-001737)

• https://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-001737.html

• [タイトル]
  • Apache TomcatにおけるWebアプリケーションに関連するファイルを読まれる脆弱性
• [概要]
  • Apache Tomcatには、Webアプリケーションが他のWebアプリケーションに対するXMLパーサを置き換えることを許可するため、任意のWebアプリケーションのweb.xml、context.xml、tldファイルを読まれる、または改ざんされる脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:L/AC:L/Au:N/C:P/I:P/A:P
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.6 CVE-2012-0384(JVNDB-2012-001958)

• https://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-001958.html

• [タイトル]
  • Cisco IOSおよびIOS XEにおけるアクセス制限を回避される脆弱性
• [概要]
  • Cisco IOSおよびIOS XEには、AAAが有効であるとき、アクセス制限を回避される、または任意のコマンドを実行される脆弱性が存在します。本問題は、Bug ID CSCtr91106の問題です。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:M/Au:S/C:C/I:C/A:C
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.7 CVE-2015-1098(JVNDB-2015-002134)

• https://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-002134.html

• [タイトル]
  • Apple iOSおよびApple OS XのiWorkにおける任意のコードを実行される脆弱性
• [概要]
  • Apple iOSおよびApple OS XのiWorkには、任意のコードを実行される、またはサービス運用妨害(メモリ破損)状態にされる脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:M/Au:N/C:P/I:P/A:P
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.8 CVE-2014-0160(JVNDB-2014-001920)

• https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001920.html

• [タイトル]
  • OpenSSLのheartbeat拡張に情報漏えいの脆弱性
• [概要]
  • OpenSSLのheartbeat拡張の実装には、情報漏えいの脆弱性が存在します。TLSやDTLS通信においてOpenSSLのコードを実行しているプロセスのメモリ内容が通信相手に漏えいする可能性があります。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:L/Au:N/C:P/I:N/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.9 CVE-2014-6271(JVNDB-2014-004410)

• https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004410.html

• [タイトル]
  • GNU bashにおける任意のコードを実行される脆弱性
• [概要]
  • GNU bashは、環境変数の値の関数定義の後で末尾の文字列を処理するため、任意のコードを実行される脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:L/Au:N/C:C/I:C/A:C
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.10 CVE-2008-1447(JVNDB-2008-001495)

• https://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-001495.html

• [タイトル]
  • 複数のDNS実装にキャッシュポイズニングの脆弱性
• [概要]
  • 複数のDNS実装にキャッシュポイズニング攻撃が容易になる脆弱性があります。最近の研究で、いままでに知られているよりも効率的にキャッシュポイズニングを行う手法が見つかっています。DNSキャッシュサーバが対象になるとともに、PCなども攻撃対象になる可能性があることに注意してください。キャッシュポイズニング攻撃は、偽造したresponseパケットを送り込むことにより行われます。queryパケットの送信元ポートをqueryごとにランダムに変更することにより、キャッシュポイズニング攻撃が成功する確率を小さくすることができます。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:L/Au:N/C:N/I:P/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.11 CVE-2014-2005(JVNDB-2014-000061)

• https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000061.html

• [タイトル]
  • Sophos Disk Encryptionにおける認証不備の脆弱性
• [概要]
  • ソフォス株式会社が提供するSophos Disk Encryptionには、認証不備の脆弱性が存在します。ソフォス株式会社が提供するSophos Disk Encryptionは、ハードディスク上のデータを暗号化するための製品です。Windowsの初期設定では、コンピュータがスリープ、休止状態から復帰する際にログオン認証を求められますが、当該製品がインストールされたコンピュータでは、ログオン認証が行われずに操作が可能となります。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:L/AC:M/Au:N/C:C/I:C/A:C
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.12 CVE-2010-0467(JVNDB-2010-003815)

• https://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-003815.html

• [タイトル]
  • Joomla!のccNewsletterコンポーネントにおけるディレクトリトラバーサルの脆弱性
• [概要]
  • Joomla!のccNewsletter(com_ccnewsletter)コンポーネントには、ディレクトリトラバーサルの脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:L/Au:N/C:P/I:N/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.13 CVE-2012-1342(JVNDB-2011-005108)

• https://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-005108.html

• [タイトル]
  • Cisco Carrier Routing Systemにおけるアクセス制御リストのエントリを回避される脆弱性
• [概要]
  • Cisco Carrier Routing System (CRS)には、アクセス制御リスト(ACL)のエントリを回避される脆弱性が存在します。本問題は、Bug ID CSCtj10975の問題です。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:L/Au:N/C:N/I:P/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.14 CVE-2013-6014(JVNDB-2013-004939)

• https://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-004939.html

• [タイトル]
  • Juniper JunosにおけるARPポイズニング攻撃を実行される脆弱性
• [概要]
  • Juniper Junosには、アンナンバードインターフェース上でProxy ARPが有効になっている場合、ARPポイズニング攻撃を実行される、および重要な情報を取得される脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:A/AC:L/Au:N/C:N/I:C/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.15 CVE-2014-9253(JVNDB-2014-007296)

• https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-007296.html

• [タイトル]
  • DokuWikiのMedia Managerにおける任意のWebスクリプトまたはHTMLを実行される脆弱性
• [概要]
  • DokuWikiのMedia Managerのconf/mime.confのデフォルトファイルタイプのホワイトリストの設定には、任意のWebスクリプトまたはHTMLを実行される脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:M/Au:N/C:N/I:P/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.16 CVE-2009-0658(JVNDB-2009-001093)

• https://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-001093.html

• [タイトル]
  • Adobe ReaderおよびAcrobatにおけるバッファオーバーフローの脆弱性
• [概要]
  • Adobe ReaderおよびAcrobatには、PDFドキュメントの処理に不備があるため、バッファオーバーフローの脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:M/Au:N/C:C/I:C/A:C
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.17 CVE-2011-1265(JVNDB-2011-001899)

• https://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-001899.html

• [タイトル]
  • Microsoft Windows VistaおよびWindows 7のBluetooth Stackにおける任意のコードを実行される脆弱性
• [概要]
  • Microsoft Windows VistaおよびWindows 7のBluetooth Stackは、(1)適切に初期化されなかった、または(2)既に削除されているメモリ内のオブジェクトへのアクセスを防止しないため、任意のコードを実行される脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:A/AC:L/Au:N/C:C/I:C/A:C
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.18 CVE-2014-2019(JVNDB-2014-001429)

• https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001429.html

• [タイトル]
  • Apple iOSのiCloudサブシステムにおけるパスワード要求を回避される脆弱性
• [概要]
  • Apple iOSのiCloudサブシステムには、パスワード要求を回避され、『iPhoneを探す(Find My iPhone)』サービスをオフにされる、または『アカウントを削除(Delete Account)』アクションを完了され、その後、このサービスを異なるApple IDに関連付られる脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:L/AC:L/Au:N/C:N/I:C/A:N
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.19 CVE-2015-0970(JVNDB-2015-002412)

• https://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-002412.html

• [タイトル]
  • SearchBloxにおけるクロスサイトリクエストフォージェリの脆弱性
• [概要]
  • SearchBloxには、クロスサイトリクエストフォージェリの脆弱性が存在します。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:M/Au:N/C:P/I:P/A:P
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.20 CVE-2014-0224(JVNDB-2014-000048)

• https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000048.html

• [タイトル]
  • OpenSSLにおけるChange Cipher Specメッセージの処理に脆弱性
• [概要]
  • OpenSSLには、初期SSL/TLSハンドシェイクにおけるChange Cipher Specメッセージの処理に脆弱性が存在します。最初のSSL/TLSハンドシェイクでは、暗号化通信で使われる暗号化鍵を生成するために鍵情報の交換を行い、それに続きChange Cipher Specメッセージがサーバからクライアントへ、クライアントからサーバへ送られます。OpenSSLには、Change Cipher Specプロトコルの実装に問題があり、鍵情報の交換の前にChange Cipher Specメッセージを受け取ると、空の鍵情報を使って暗号化鍵を生成してしまいます(CWE-325)。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:M/Au:N/C:P/I:P/A:P
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

5.21 CVE-2012-5376(JVNDB-2012-004919)

• https://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-004919.html

• [タイトル]
  • Google Chromeのプロセス間通信の実装におけるサンドボックスの制限を回避される脆弱性
• [概要]
  • Google Chromeのプロセス間通信(IPC)の実装には、サンドボックスの制限を回避され、任意のファイルに書き込まれる脆弱性が存在します。本脆弱性は、CVE-2012-5112とは異なる脆弱性です。
• [深刻度]
  • https://jvndb.jvn.jp/cvss/ja/v2.html#AV:N/AC:L/Au:N/C:C/I:C/A:C
  • https://jvndb.jvn.jp/cvss/ja/v3.html#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

基本値

攻撃元区分(AV)

攻撃条件の複雑さ(AC)

攻撃前の認証要否(Au)

攻撃条件の複雑さ(AC)

必要な特権レベル(PR)

ユーザ関与レベル(UI)

スコープ(S)

機密性への影響(C)

完全性への影響(I)

可用性への影響(A)

脚注

1. (*1)
   Common Vulnerability Scoring System (CVSS-SIG)

   • https://www.first.org/cvss

1. (*2)
   Common Vulnerability Scoring System v3.0: Specification Document

   • https://www.first.org/cvss/v3.0/specification-document

1. (*3)
   JVN: Japan Vulnerability Notes

   • https://jvn.jp/

1. (*4)
   JVN iPedia

   • https://jvndb.jvn.jp/

1. (*5)
   CVSS計算ソフトウェア多国語版

   • CVSS v3
   • https://jvndb.jvn.jp/cvss/
   • CVSS v2
   • https://jvndb.jvn.jp/cvss/