1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › BSI: Die fragwürdigen…

Bewertungsschema (CVE/CVSS)

  1. Thema

Neues Thema Ansicht wechseln


  1. Bewertungsschema (CVE/CVSS)

    Autor: Dr.Zoidberg 30.07.19 - 16:32

    Ich Kann die Kritik so nicht nachvollziehen, denn die Meldungen werden doch anhand nachvollziehbarer Bewertungsschemata geschrieben. Diese sollte man beim Lesen dann auch beherzigen. Natürlich wird in den CVEs vom schlimmst Möglichen ausgegangen und das ist auch richtig so. Die Eintrittswahrscheinlichkeit, der Angriffsvektor und die möglichen Folgen gehören aber genauso zur Bewertung.

  2. Re: Bewertungsschema (CVE/CVSS)

    Autor: 1st1 30.07.19 - 16:57

    Sehe ich auch so, lieber zu viel warnen, als zu wenig. Gepatcht werden müssen die Sachen so oder so. Die Linuxer sind da fein raus, ein sudo-apt-get update/upgrade ist keine Sache, außer der ggf. anstehende Reboot. Ich empfange die cert-bund-Alerts per Mail und schaue die jeden Tag nach relevanten Informationen durch und bewerte die anhand der oft angegebenen Weblinks.

  3. Re: Bewertungsschema (CVE/CVSS)

    Autor: floewe 30.07.19 - 16:58

    https://nvd.nist.gov/vuln/detail/CVE-2019-13615

    Score :5.5 bzw 4,3

    Ok, NACHDEM das ganze korrigiert wurde. Zum Zeitpunkt der ersten Meldung stand da eine 9,8 - 7,5 drin.
    >https://web.archive.org/web/20190723233417/https://nvd.nist.gov/vuln/detail/CVE-2019-13615

    Völlig aus der Luft gegriffen und nur mit dem videolan Ticket belegt, als "Proof" eine manipulierte mp4 Datei. Die CVSS Daten standen auf völlig absurden Werten. Sieh Dir mal das Forum unter der Meldung an, da hat sich selbst jeder Otto-Normal-Admin gefragt, wie zum Teufel man mit dem Bug eine sehr einfache auszunutzende Remotegefährdung über das Netzwerk ohne Interaktion eines Nutzer hinkriegen will.

    Soviel zum Thema "nachvollziehbares Bewertungsschema".



    2 mal bearbeitet, zuletzt am 30.07.19 17:00 durch floewe.

  4. Re: Bewertungsschema (CVE/CVSS)

    Autor: gadthrawn 31.07.19 - 12:23

    floewe schrieb:
    --------------------------------------------------------------------------------
    > nvd.nist.gov
    >
    > Score :5.5 bzw 4,3
    >
    > Ok, NACHDEM das ganze korrigiert wurde. Zum Zeitpunkt der ersten Meldung
    > stand da eine 9,8 - 7,5 drin.
    > >web.archive.org
    >
    > Völlig aus der Luft gegriffen und nur mit dem videolan Ticket belegt, als
    > "Proof" eine manipulierte mp4 Datei. Die CVSS Daten standen auf völlig
    > absurden Werten. Sieh Dir mal das Forum unter der Meldung an, da hat sich
    > selbst jeder Otto-Normal-Admin gefragt, wie zum Teufel man mit dem Bug eine
    > sehr einfache auszunutzende Remotegefährdung über das Netzwerk ohne
    > Interaktion eines Nutzer hinkriegen will.
    >
    > Soviel zum Thema "nachvollziehbares Bewertungsschema".

    Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden. Manipulierte Dateien führen zu einem overflow. overflows werden zu was genutzt? Siehste -> Daher kritisch.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. DIASHOP GmbH, Germering
  2. noris network AG, Nürnberg, Aschheim (bei München), Berlin (Remote-Office möglich)
  3. über duerenhoff GmbH, Raum Augsburg
  4. Eckert & Ziegler Radiopharma GmbH, Braunschweig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (aktuell u. a. Amazon Basics günstiger (u. a. AXE Superb 128 GB USB 3.1 SuperSpeed USB-Stick für...
  2. (u. a. Digitus S7CD Aktenvernichter für 24,99€, Krups Espresso-Kaffee-Vollautomat EA 8150 für...
  3. (u. a. Sandisk Extreme PRO NVMe 3D SSD 1TB M.2 PCIe 3.0 für 145,90€ (mit Rabattcode...
  4. (u. a. WD_Black D10 Game Drive externe Festplatte 8 TB für 151,99€, SanDisk Ultra 512GB...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmiersprache Go: Schlanke Syntax, schneller Compiler
Programmiersprache Go
Schlanke Syntax, schneller Compiler

Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
Von Tim Schürmann


    IT in Behörden: Modernisierung unerwünscht
    IT in Behörden
    Modernisierung unerwünscht

    In deutschen Amtsstuben kommt die Digitalisierung nur schleppend voran. Das liegt weniger an den IT-Abteilungen als an ihren fachfremden Kollegen.
    Ein Bericht von Andreas Schulte

    1. Digitalisierung Krankschreibung per Videosprechstunde wird möglich
    2. Golem on Edge Homeoffice im Horrorland
    3. Anzeige Die voll digitalisierte Kaserne der Zukunft

    Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
    Threat-Actor-Expertin
    Militärisch, stoisch, kontrolliert

    Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
    Ein Porträt von Maja Hoock

    1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
    2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
    3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

    1. Statt Twitch Prime: Amazon bietet Spielinhalte über Prime Gaming
      Statt Twitch Prime
      Amazon bietet Spielinhalte über Prime Gaming

      Ingame-Dollar für GTA 5 Online, Ultimate-Team-Pakete für Fifa 20 und PC-Spiele: Amazon überschüttet Prime-Abonnenten mit Spielinhalten.

    2. Weltraumforschung: Zwergplanet Ceres hat einen unterirdischen Ozean
      Weltraumforschung
      Zwergplanet Ceres hat einen unterirdischen Ozean

      Ceres hat viel flüssiges Wasser unter dem Oberflächeneis. Nach aktuellen Erkenntnissen gibt es auf dem Zwergplaneten einen ungewöhnlichen Kryovulkanismus.

    3. Homeoffice: Liebe Firmen, lasst uns spielen!
      Homeoffice
      Liebe Firmen, lasst uns spielen!

      Die Coronakrise hat gezeigt, dass Homeoffice machbar ist. Damit es auch gut funktioniert, muss es aber noch viel mehr Raum für soziale Kontakte geben.


    1. 12:45

    2. 12:30

    3. 12:00

    4. 11:30

    5. 11:15

    6. 11:00

    7. 10:46

    8. 10:30