Le système CVSS évalue le niveau de gravité d'une faille SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Tendances

Les derniers commentaires publiés sur SecuObs (1-5):

- ESRT @netsparker @jeremiahg - Scanner Review Vendors begin responding: HP Web - ESRT @dloss - Python tools for penetration testers - ESRT @sagar38 @laramies @matalaz - Pyew A Python tool to analyze malware - synspam 0.4.0-1 - sipwitch 0.7.0 Les derniers commentaires publiés sur SecuObs (6-25) Tous les commentaires publiés sur SecuObs avant les 5 derniers

English version with Google Translate

Le système CVSS évalue le niveau de gravité d'une faille

Par Xavier Poli, secuobs.com
Le 10/06/2005

Résumé : Mike Schiffman (CISCO), Dave Ahmad (Symantec) ont tenu à présenter le système de métrique CVSS, conçu et soutenu par de grands noms de l'informatique (CISCO, ISS, Mitre, Microsoft et Symantec). - Lire l'article

Version imprimable de cet article
Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Tendances en RSS

Mike Schiffman (CISCO), Dave Ahmad (Symantec) ont tenu à présenter le système de métrique CVSS, conçu et soutenu par de grands noms de l'informatique (CISCO, ISS, Mitre, Microsoft et Symantec).

CVSS évalue ce niveau en fonction de trois types du métrique distincts. Les niveaux basiques, temporels & environnementaux, chacun comportant des paramètres spécifiques à chaque faille afin de la classifier en gravité :

- Le niveau de base en fonction de l'aspect local ou exécutable à distance de la faille ainsi que la difficulté des conditions d'exploitation de la faille (Race Condition, interaction de la victime, configuration par défaut, authentification).

L'impact sur la compromission de différents facteurs du système (disponibilité, confidentialité, intégrité) rentre également en compte dans l'évaluation de base. Chacun de ces facteurs prend alors un poids sur la faille en fonction de son résultat afin d'en définir majoritairement son type d'impact.

- Le niveau de temps en fonction de l'exploitabilité (non existante, Proof of Concept PoC, Exploit publié, pas besoin d'exploit) et du niveau de solutions existant (patchs, fixs, solutions non officielles) afin d'évaluer la durée de vie de la faille dans le temps.

- Le niveau d'environnement en fonction des dommages collatéraux (perte de données) et du nombre de cibles potentielles.

Le CERT-IST évalue en interne la possibilité d'indiquer le « scoring CVSS » dans ses avis de sécurité au même titre que le projet CVE (Common Vulnerabilities and Exposures) et soutient ce projet tout comme il avait pris part au projet européen de métrique commune aux CERT, EISPP (European Information Security Promotion Programme) http://www.eispp.org/.

Les mots clés pour les articles publiés sur SecuObs : système
Voir tous les articles de "Xavier Poli" publiés sur SecuObs (293 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (757 résultats)

Version imprimable de cet article

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Tendances en RSS

- Article suivant : La France va-t-ell rejoindre le club des pays qui filtrent l'internet ?
- Article précédent : Avancées technologiques en matière d'exploits
- Article suivant dans la catégorie Tendances : La France va-t-ell rejoindre le club des pays qui filtrent l'internet ?
- Article précédent dans la catégorie Tendances : Avancées technologiques en matière d'exploits

Les derniers commentaires de la catégorie Tendances:

- ESRT @helpnetsecurity @lbhuston - Zero-day vulnerabilities o ... - ESRT @emgent Fake OpenSSH remote root exploit hexdump ... - Video : ESRT @kellepc - ShmooCon live via uStream ... - libssh2-1.2.3.tar.gz ... - Return Oriented Programming for the ARM Architecture Using R ...

Les derniers articles de la catégorie Tendances :

- Les attaques MALfi utilisées pour le déploiement de Botnets jetables à usage unique, une nette tendance pour la cybercriminalité - Etude sur le coût des attaques par force brute à l aide du Cloud Amazon EC2 et d Elcomsoft Distributed Password Recovery - Seulement 38% des PME dotées d’une charte d’utilisation de l’internet - Symantec publie une étude sur les faux antivirus - Les faux antivirus en pleine expansion - La neutralité du réseau, pierre angulaire de l’Internet - Le traçage de traître(s) pas aussi simple qu’il n’y paraît - Le projet de loi HADOPI bientôt de retour à l assemblée - Le projet de loi HADOPI échoue en fin de parcours - La loi HADOPI, tête de pont du filtrage de l internet ? + d'articles de la catégorie Tendances

Les derniers commentaires publiés sur SecuObs (6-25):

- Airdrop-ng Release - GuruPlug, the next generation of SheevaPlug - Anomos 0.9 Released Public Tracker Up and Running - ESRT @IBMFedCyber - DECT crypto cracked academically - Responder Professional 2.0, a Windows physical memory and automated malware a - ESRT @Marsmensch @hdmoore - Metasploit supports owning insecure IIS WebDAV - Added a small hack to ronin-ext, Ronin::Autoload: autoloads missing constants - ESRT @proactivedefend - Iptables Limits Connections Per IP - ESRT @EdiStrosar @spendergrsec - Linux 2618+ infoleak exploit added to Enligh - ESRT @SecMailLists - Full Disclosure: XSS vulnerability in NEW orkut - ESRT @helpnetsecurity @lbhuston - Zero-day vulnerabilities on the market - ESRT @agar38 @achillean @theprez98 - SHODAN for Penetration Testers slides fr - Video : ESRT @secdocs - Using OpenBSC for fuzzing of GSM handsets - ESRT @helpnetsecurity - Configure Netfilter Shorewall 4.4.7 RC2 released - PS3 hypervisor exploit reproduced - Mozilla Removes Two Malicious Firefox Add-Ons - Wrapping insecure web apps with Apache - Oracle Patches Critical WebLogic Flaw - Directory traversal as a reconnaissance tool - Video : Scanning with the NetChk Configure NIST Policy Les cinq derniers commentaires publiés sur SecuObs Tous les commentaires publiés sur SecuObs avant les 25 derniers

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / WEP aircrack + Ubiquiti (MadWifi) 300 mW + Yagi / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, microsoft, réseau, attaque, vulnérabilité, outil, système, audit, virus, internet, données, présentation, linux, metasploit, protocol, bluetooth, vista, shell, scanner, réseaux, rootkit, paquet, trames, source, conférence, téléphone, wishmaster, noyau, engineering, mobile, sysun, https, téléphones, mémoire, patch, intel, botnet, libre, rapport, scapy, reverse, contourner, securitech + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :

- SA38414 Fedora update for gmime22 - SA38429 Debian update for squid and squid3 - SA38461 Ubuntu update for kernel - SA38476 F5 Products TCP Implementation Denial of Service - SA38377 Fedora update for dokuwiki + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :

- Full-disclosure Claude Mercier/CLSC-CHSLD BVLV/Reg03/SSSS est absent(e). - Re: Full-disclosure about jit and dep+aslr - Re: Full-disclosure about jit and dep+aslr - Re: Full-disclosure about jit and dep+aslr - Re: Full-disclosure about jit and dep+aslr + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :

- CORELAN-10-010 - GeFest Web HomeServer v1.0 Remote Directory Traversal Vulnerability - DSECRG-09-065 TVUPlayer PlayerOcx.ocx ActiveX - Insecure method - mongoose Space Character Remote File Disclosure Vulnerability - Suspected SpamVulnerability in Tagcloud for DataLife Engine - Re: Multiple vulnerabilities in XAMPP (advisory #7) - Re: Samba Remote Zero-Day Exploit + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :

vmware, security, virus, biometric, windows, lockpicking, password, metasploit, botnet, tutorial, crypt, attack, linux, network, iphone, server, exploit, wimax, conficker, virtu, virtual, engineering, cisco, reverse, ettercap, wireshark, hacker, firewall, knoppix, arduino, internet, rootkit, wireless, source, brucon, backtrack, openbsd, systm, overflow, openssh, conference, buffer, access, remote, defcon + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter