Le système CVSS évalue le niveau de gravité d'une faille SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Tendances

Les derniers commentaires publiés sur SecuObs (1-5):

- ESRT @securityninja - Burp Suite Tutorial - Repeater and Comparer Tool - ESRT @dinodaizovi - New metasploit blog post - analyzes the first public Perm - ESRT @iagox86 @hdmoore - Using Metasploit to Locate and Exploit the Energizer - ESRT @innismir - New Weblog Post -- Finding Malware on your network via cache - Sniffing with Wireshark as a Non-Root User Les derniers commentaires publiés sur SecuObs (6-25) Tous les commentaires publiés sur SecuObs avant les 5 derniers

English version with Google Translate

Le système CVSS évalue le niveau de gravité d'une faille

Par Xavier Poli, secuobs.com
Le 10/06/2005

Résumé : Mike Schiffman (CISCO), Dave Ahmad (Symantec) ont tenu à présenter le système de métrique CVSS, conçu et soutenu par de grands noms de l'informatique (CISCO, ISS, Mitre, Microsoft et Symantec). - Lire l'article

Version imprimable de cet article
Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Tendances en RSS

Mike Schiffman (CISCO), Dave Ahmad (Symantec) ont tenu à présenter le système de métrique CVSS, conçu et soutenu par de grands noms de l'informatique (CISCO, ISS, Mitre, Microsoft et Symantec).

CVSS évalue ce niveau en fonction de trois types du métrique distincts. Les niveaux basiques, temporels & environnementaux, chacun comportant des paramètres spécifiques à chaque faille afin de la classifier en gravité :

- Le niveau de base en fonction de l'aspect local ou exécutable à distance de la faille ainsi que la difficulté des conditions d'exploitation de la faille (Race Condition, interaction de la victime, configuration par défaut, authentification).

L'impact sur la compromission de différents facteurs du système (disponibilité, confidentialité, intégrité) rentre également en compte dans l'évaluation de base. Chacun de ces facteurs prend alors un poids sur la faille en fonction de son résultat afin d'en définir majoritairement son type d'impact.

- Le niveau de temps en fonction de l'exploitabilité (non existante, Proof of Concept PoC, Exploit publié, pas besoin d'exploit) et du niveau de solutions existant (patchs, fixs, solutions non officielles) afin d'évaluer la durée de vie de la faille dans le temps.

- Le niveau d'environnement en fonction des dommages collatéraux (perte de données) et du nombre de cibles potentielles.

Le CERT-IST évalue en interne la possibilité d'indiquer le « scoring CVSS » dans ses avis de sécurité au même titre que le projet CVE (Common Vulnerabilities and Exposures) et soutient ce projet tout comme il avait pris part au projet européen de métrique commune aux CERT, EISPP (European Information Security Promotion Programme) http://www.eispp.org/.

Les mots clés pour les articles publiés sur SecuObs : système
Voir tous les articles de "Xavier Poli" publiés sur SecuObs (302 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (773 résultats)

Version imprimable de cet article

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Tendances en RSS

- Article suivant : La France va-t-ell rejoindre le club des pays qui filtrent l'internet ?
- Article précédent : Avancées technologiques en matière d'exploits
- Article suivant dans la catégorie Tendances : La France va-t-ell rejoindre le club des pays qui filtrent l'internet ?
- Article précédent dans la catégorie Tendances : Avancées technologiques en matière d'exploits

Les derniers commentaires de la catégorie Tendances:

- ESRT @postmodern_mod3 @tmm1 - memprof now displays stack fra ... - Fimap alpha v0.8 released ... - SSD Tools Crack Passwords 100 Times Faster ... - Catching PHP RFI Infected Hosts with Log Greps ... - ESRT @0x58 @damienmiller - Help test the new OpenSSH release ...

Les derniers articles de la catégorie Tendances :

- Des nouvelles du traité secret ACTA - Les attaques MALfi utilisées pour le déploiement de Botnets jetables à usage unique, une nette tendance pour la cybercriminalité - Etude sur le coût des attaques par force brute à l aide du Cloud Amazon EC2 et d Elcomsoft Distributed Password Recovery - Seulement 38% des PME dotées d’une charte d’utilisation de l’internet - Symantec publie une étude sur les faux antivirus - Les faux antivirus en pleine expansion - La neutralité du réseau, pierre angulaire de l’Internet - Le traçage de traître(s) pas aussi simple qu’il n’y paraît - Le projet de loi HADOPI bientôt de retour à l assemblée - Le projet de loi HADOPI échoue en fin de parcours + d'articles de la catégorie Tendances

Les derniers commentaires publiés sur SecuObs (6-25):

- Focus on MacNikto v1.1.1 - New Google Chrome v4.1.249.1036 released, fixes multiple security vulnerabili - ESRT @opexxx @synopsi - Remote stack overflows - ESRT @postmodern_mod3 @tmm1 - memprof now displays stack frames and threads - ESRT @_MDL_ @gollmann - Locking botnet agents to specific victim systems in o - CsFire 0.4.1 autonomously protects against dangerous or malicious cross-domai - Seccubus v1.4.1 - Nessus 4.2 compatibility release - ESRT @JGamblin @threatpost - Hackers say they will definitely break into an A - ESRT @hdmoore @iagox86 - Weaponizing dnscat - first version of dnscat shellco - iWep PRO 1.1.3 Released - FireCAT v1.6.2 updated with Framework Detector - ESRT @opexxx - FireCAT v1.6.2 updated with BackendInfo - sipwitch 0.7.4 - Oracle XDB FTP service UNLOCK buffer overflow exploit that spawns a reverse s - XSSploit XSS scanner multiplatfom v0.5 available - Network forensics in IRB xtractr Ruby gem - GreenPois0n Possible Jailbreak Software for iPad OS 32 - Blazing fast password recovery with new ATI cards - ESRT @wireheadlance - How to secure a Cisco router - Device Fingerprinting to Fight Real-time Transaction Fraud Les cinq derniers commentaires publiés sur SecuObs Tous les commentaires publiés sur SecuObs avant les 25 derniers

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / WEP aircrack + Ubiquiti (MadWifi) 300 mW + Yagi / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, microsoft, réseau, attaque, outil, vulnérabilité, audit, système, virus, internet, données, présentation, metasploit, linux, bluetooth, protocol, vista, scanner, réseaux, shell, engineering, rootkit, paquet, conférence, trames, wishmaster, téléphone, source, sysun, noyau, mobile, https, mémoire, rapport, botnet, téléphones, libre, reverse, navigateur, patch, snort, scapy, intel + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :

- SA38969 OSSIM Multiple Vulnerabilities - SA38861 TR-069 Remote Management SQL Injection Vulnerability - SA38955 MaxDB Handshake Packet Buffer Overflow Vulnerability - SA38922 Ubuntu update for linux and linux-source-2.6.15 - SA38967 PhpKobo Real Estate Contact Form LANG_CODE Local File Inclusion + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :

- Full-disclosure Claude Mercier/CLSC-CHSLD BVLV/Reg03/SSSS est absent(e). - Re: Full-disclosure Fingerprinting Paper with Laser - Re: Full-disclosure Fingerprinting Paper with Laser - Full-disclosure AboCMS SQL injection (abocms.ru) - Full-disclosure SECURITY DSA-2018-1 New php5 packages fix null pointer dereference + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :

- Sahana 0.6.2.2 Authentication Bypass - Secunia Research: Quicksilver Forums Cross-Site Request Forgery Vulnerability - Secunia Research: Quicksilver Forums Backup Information Disclosure - Secunia Research: Quicksilver Forums mysqldump Password Disclosure - Miranda IM silent TLS failure - Vulnerabilities in VXDate for Joomla + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :

vmware, security, virus, biometric, windows, lockpicking, password, botnet, metasploit, tutorial, attack, crypt, linux, network, iphone, server, exploit, wimax, conficker, virtu, virtual, engineering, cisco, reverse, shmoocon, wireshark, ettercap, hacker, firewall, internet, knoppix, rootkit, arduino, wireless, source, conference, backtrack, openbsd, brucon, systm, overflow, openssh, access, buffer, remote + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter