Megváltozik a biztonsági rések kategorizálása

Szerző: Kristóf Csaba | Utolsó módosítás: 2015.06.16.

Megújult a sebezhetőségek besorolásához használt egyik legreményteljesebb rendszer, amely sokat segíthet a veszélyforrások kategorizálásában.

A sérülékenységekről szóló hírekben, tájékoztatókban, leírásokban gyakorta veszélyességi besorolásokkal is lehet találkozni. Ezek azért szolgálnak hasznos információkkal, mert a segítségükkel priorizálni lehet a hibajavítások elvégzését, és a legsúlyosabb biztonsági rések foltozását akár soron kívül is el lehet végezni.

Ugyanakkor a gyártók, biztonsági cégek sok esetben eltérő kategorizálási rendszert alkalmaznak, ami esetenként megnehezítheti a döntéshozatalt. A Microsoft például háromszintű besorolást használ, míg az Oracle a10-es skálán mozgó CVSS (Common Vulnerability Scoring System) alapú megközelítés mellett tette le a voksát. Egyre inkább úgy tűnik, hogy a jövőben a CVSS terjedhet el a legszélesebb körben, különösen azért, mert az FIRST (Forum of Incident Response and Security Teams) kiadta a CVSS harmadik, finomított verzióját.

A CVSS v3-ról elmondható, hogy egy jól átgondolt rendszer került napvilágra. Az FIRST még 2012 májusában hozta létre azt az SIG (CVSS Special Interest Group) csoportot, amelynek feladata az volt, hogy a v2 modernizálásával és az időközben megváltozott biztonsági környezet figyelembevételével használhatóbbá tegye a CVSS-t. Az FIRST szerint az új besorolási rendszer a korábbiakhoz képest konzisztensebb módon képes rangsorolni a sérülékenységeket. A használatához, értelmezéséhez pedig eddigieknél több leírás áll rendelkezésre, illetve egy új kalkulátor is segíti a veszélyességi pontok kiszámítását.

A CVSS v3 kalkulátora számos tényezőt vesz figyelembe a működése során. Így például számol az adott sebezhetőség bizalmasságra, integritásra és rendelkezésre állásra gyakorolt hatásával, a hiba kihasználásához szükséges felhasználói közreműködés mértékével, a támadási vektorokkal, valmint a szóba jöhető támadási módszerek komplexitásával is.

A CVSS v3 teljes körű leírása az FIRST weboldalain tekinthető meg.

Iratkozzon fel hírlevelünkre!

További hírek

FBI: nem lankadnak az internetes csalók

Biztonságosabb fiókkezelést kapott a ChatGPT

Gigantikus támadási felületet biztosít a hanyag VNC-kezelés

Nem sikerül megválni a sok sebből vérző FTP-től

Riasztások

4

Roundcube Webmail sérülékenységek

A Roundcube Webmail újabb fontos biztonsági frissítést kapott.
4

Asterisk biztonsági hibák

Az Asterisk fejlesztői biztonsági hibákról számoltak be.
3

BIND sérülékenységek

Az ISC BIND kapcsán öt biztonsági hibajavítás vált elérhetővé.
4

Trend Micro Apex sebezhetőségek

A Trend Micro Apex One-hoz fontos biztonsági frissítések érkeztek.
4

phpMyFAQ biztonsági rések

A phpMyFAQ fejlesztői öt biztonsági hibáról adtak tájékoztatást.
4

Microsoft Defender sebezhetőségek

A Microsoft két biztonsági hibajavítást adott ki a Microsoft Defenderhez.
3

Dovecot frissírések

Számos biztonsági frissítés érkezett a Dovecothoz.
3

Postfix sebezhetőég

A Postfix fejlesztői egy közepes veszélyességű hibát orvosoltak.
4

MariaDB sérülékenységek

A MariaDB-hez több biztonsági javítás vált elérhetővé.
4

Firefox sérülékenységek

A Mozilla több tucat hibajavítást adott ki a Firefoxhoz.

	BitDefender Family Pack 15 eszköz 3 év Új licenc
	38490 Ft

	ESET Mobile Security for Android 2 eszköz 3 év Új licenc
	14990 Ft

	ESET Home Security Essential 1 év 4 eszköz Nyugdíjas kedvezmény
	18893 Ft

Partnerhírek

Már többmilliós letöltésnél jár az új Androidos csalás

Az ESET kiberbiztonsági kutatói egy új, CallPhantom névre keresztelt androidos csalássorozatot azonosítottak a Google Play áruházban, amely valótlan ígéretekkel próbál pénzt kicsalni a felhasználóktól.

Apple Pay-csalások: hat gyakori módszer, amire érdemes figyelni

Az Apple Pay az egyik legnépszerűbb mobilfizetési szolgáltatás világszerte: becslések szerint több százmillió felhasználóval és évente több ezermilliárd dollárnyi tranzakcióval.

További partnerhírek >>