Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › BSI: Die fragwürdigen…

Bewertungsschema (CVE/CVSS)

  1. Thema

Neues Thema Ansicht wechseln


  1. Bewertungsschema (CVE/CVSS)

    Autor: Dr.Zoidberg 30.07.19 - 16:32

    Ich Kann die Kritik so nicht nachvollziehen, denn die Meldungen werden doch anhand nachvollziehbarer Bewertungsschemata geschrieben. Diese sollte man beim Lesen dann auch beherzigen. Natürlich wird in den CVEs vom schlimmst Möglichen ausgegangen und das ist auch richtig so. Die Eintrittswahrscheinlichkeit, der Angriffsvektor und die möglichen Folgen gehören aber genauso zur Bewertung.

  2. Re: Bewertungsschema (CVE/CVSS)

    Autor: 1st1 30.07.19 - 16:57

    Sehe ich auch so, lieber zu viel warnen, als zu wenig. Gepatcht werden müssen die Sachen so oder so. Die Linuxer sind da fein raus, ein sudo-apt-get update/upgrade ist keine Sache, außer der ggf. anstehende Reboot. Ich empfange die cert-bund-Alerts per Mail und schaue die jeden Tag nach relevanten Informationen durch und bewerte die anhand der oft angegebenen Weblinks.

  3. Re: Bewertungsschema (CVE/CVSS)

    Autor: floewe 30.07.19 - 16:58

    https://nvd.nist.gov/vuln/detail/CVE-2019-13615

    Score :5.5 bzw 4,3

    Ok, NACHDEM das ganze korrigiert wurde. Zum Zeitpunkt der ersten Meldung stand da eine 9,8 - 7,5 drin.
    >https://web.archive.org/web/20190723233417/https://nvd.nist.gov/vuln/detail/CVE-2019-13615

    Völlig aus der Luft gegriffen und nur mit dem videolan Ticket belegt, als "Proof" eine manipulierte mp4 Datei. Die CVSS Daten standen auf völlig absurden Werten. Sieh Dir mal das Forum unter der Meldung an, da hat sich selbst jeder Otto-Normal-Admin gefragt, wie zum Teufel man mit dem Bug eine sehr einfache auszunutzende Remotegefährdung über das Netzwerk ohne Interaktion eines Nutzer hinkriegen will.

    Soviel zum Thema "nachvollziehbares Bewertungsschema".



    2 mal bearbeitet, zuletzt am 30.07.19 17:00 durch floewe.

  4. Re: Bewertungsschema (CVE/CVSS)

    Autor: gadthrawn 31.07.19 - 12:23

    floewe schrieb:
    --------------------------------------------------------------------------------
    > nvd.nist.gov
    >
    > Score :5.5 bzw 4,3
    >
    > Ok, NACHDEM das ganze korrigiert wurde. Zum Zeitpunkt der ersten Meldung
    > stand da eine 9,8 - 7,5 drin.
    > >web.archive.org
    >
    > Völlig aus der Luft gegriffen und nur mit dem videolan Ticket belegt, als
    > "Proof" eine manipulierte mp4 Datei. Die CVSS Daten standen auf völlig
    > absurden Werten. Sieh Dir mal das Forum unter der Meldung an, da hat sich
    > selbst jeder Otto-Normal-Admin gefragt, wie zum Teufel man mit dem Bug eine
    > sehr einfache auszunutzende Remotegefährdung über das Netzwerk ohne
    > Interaktion eines Nutzer hinkriegen will.
    >
    > Soviel zum Thema "nachvollziehbares Bewertungsschema".

    Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden. Manipulierte Dateien führen zu einem overflow. overflows werden zu was genutzt? Siehste -> Daher kritisch.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Folkwang Universität der Künste, Essen, Köln
  2. CSB-SYSTEM AG, Geilenkirchen
  3. MVV Trading GmbH, Mannheim
  4. Vorwerk Services GmbH, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 44,53€ (Exklusiv!) @ ubi.com
  2. 25,00€ (Bestpreis!)
  3. (u. a. MSI MPG Z390 Gaming Edge AC für 149,90€, MSI MPG Z390 Gaming Pro Carbon AC für 180,90€)
  4. (u. a. Sandisk Ultra 400 GB microSDXC für 56,90€, Verbatim Pinstripe 128-GB-USB-Stick für 10...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

  1. UMTS: 3G-Abschaltung kein Thema für die Bundesregierung
    UMTS
    3G-Abschaltung kein Thema für die Bundesregierung

    Nutzer, die kein LTE in ihren Verträgen festgeschrieben haben, sollten wechseln, da 3G zunehmend abgeschaltet werde. Das erklärte das Bundesverkehrsministerium und sieht keinen Grund zum Eingreifen.

  2. P3 Group: Wo die Mobilfunkqualität in Deutschland am niedrigsten ist
    P3 Group
    Wo die Mobilfunkqualität in Deutschland am niedrigsten ist

    Die Qualität des Mobilfunks in Deutschland ist in den einzelnen Bundesländern sehr unterschiedlich. Dort, wo Funklöcher gerade ein wichtiges Thema sind, ist die Versorgung gar nicht so schlecht.

  3. Mecklenburg-Vorpommern: Funkmastenprogramm verzögert sich
    Mecklenburg-Vorpommern
    Funkmastenprogramm verzögert sich

    Wegen fehlender Zustimmung der EU ist das Geld für ein Mobilfunkprogramm in Mecklenburg-Vorpommern noch nicht verfügbar. Dabei hat das Bundesland laut einer P3-Messung große Probleme.


  1. 18:00

  2. 18:00

  3. 17:41

  4. 16:34

  5. 15:44

  6. 14:42

  7. 14:10

  8. 12:59