Una guía completa para la

Scoring System Common Vulnerability

Versión 2.0
Peter Mell, Karen Scarfone
Instituto Nacional de Estándares y Tecnología

Sasha Romanosky
Universidad Carnegie Mellon

También disponible en formato PDF (236Kb) .

Agradecimientos: Los autores desean sinceramente para reconocer las contribuciones de

todos los miembros del Grupo de Interés Especial CVSS, incluyendo Barrie Brook, Seth
Hanford, Stav Raviv, Gavin Reid, George Theell y Tadashi Yamagishi, así como los
autores de la norma v1.0 CVSS [1] .

El Common Vulnerability Scoring System (CVSS) proporciona un marco abierto para la

comunicación de las características e impactos de las vulnerabilidades de TI. CVSS consta
de 3 grupos: Base, temporales y ambientales. Cada grupo produce una puntuación numérica
que oscila de 0 a 10, y un vector, una representación textual comprimido que refleja los
valores utilizados para obtener la puntuación. El grupo Base representa las cualidades
intrínsecas de una vulnerabilidad. El grupo Temporal refleja las características de una
vulnerabilidad que cambian con el tiempo. El grupo ambiental representa las características
de una vulnerabilidad que son exclusivos para el entorno de cualquier usuario. CVSS
enables IT managers, providers bulletin vulnerability, vendors security, vendors application
y researchers a todos benefit por adopting esta language común de scoring IT
vulnerabilities.

1. Introducción
En la actualidad, la gestión de TI debe identificar y evaluar las vulnerabilidades a través de
muchas plataformas de hardware y software diferentes. Ellos necesitan priorizar estas
vulnerabilidades y remediar los que representan el mayor riesgo. Pero cuando hay tantos
para fijar, con cada ser calificado usando diferentes escalas [2] [3] [4] , ¿cómo los
administradores de TI convertir esta montaña de datos de vulnerabilidades en información?
El Common Vulnerability Scoring System (CVSS) es un marco abierto que aborde esta
cuestión. Ofrece los siguientes beneficios:

 Las puntuaciones de vulnerabilidad estandarizados: Cuando una organización

normaliza las puntuaciones de vulnerabilidad a través de todas sus plataformas de
software y hardware, se puede aprovechar una única política de gestión de
vulnerabilidades. Esta política puede ser similar a un acuerdo de nivel de servicio
(SLA) que indica la rapidez con la especial vulnerabilidad debe ser validado y
remediada.
 Abrir Marco: los usuarios pueden confundirse cuando una vulnerabilidad se asigna
una puntuación arbitraria. "Las propiedades que le dio que la puntuación? ¿En qué
difiere de la que se dado a conocer ayer?" Con CVSS, cualquiera puede ver las
características individuales que se utilizan para obtener una puntuación.
 Riesgo priorizada: Cuando se calcula la puntuación del medio ambiente, la
vulnerabilidad se convierte ahora contextual. Es decir, las puntuaciones de
vulnerabilidad ahora son representativos del riesgo real de una organización. Los
usuarios saben lo importante que es una vulnerabilidad dada es en relación a otras
vulnerabilidades.

1.1. ¿Qué es CVSS?

CVSS se compone de tres grupos de métricas: Base, temporales y ambientales, cada uno
formado por un conjunto de métricas, como se muestra en la Figura 1.

Figura 1: CVSS métricas Grupos

Estos grupos de métricas se describen como sigue:

 Base: representa las características intrínsecas y fundamentales de una

vulnerabilidad que son constantes en el tiempo y los entornos de usuario. Métricas
de base se discuten en la Sección 2.1 .
 Temporal: representa las características de una vulnerabilidad que cambia con el
tiempo, pero no entre los entornos de usuario. Métricas temporales se discuten en la
Sección 2.2 .
 Ambiental: representa las características de una vulnerabilidad que son relevantes y
exclusivos para el entorno de un usuario en particular. Indicadores ambientales se
discuten en la Sección 2.3 .
El propósito del grupo de base CVSS es definir y comunicar las características
fundamentales de una vulnerabilidad. Este enfoque objetivo de la caracterización de
vulnerabilidades ofrece a los usuarios una representación clara e intuitiva de una
vulnerabilidad. Los usuarios pueden invocar los grupos temporales y ambientales para
proporcionar información contextual que refleja con mayor precisión el riesgo a su entorno
único. Esto les permite tomar decisiones más informadas cuando se trata de reducir los
riesgos que plantean las vulnerabilidades.

1.2. Otros sistemas de puntuación de la vulnerabilidad

Hay una serie de otros sistemas de vulnerabilidad "scoring" manejadas por ambas
organizaciones comerciales y no comerciales. Cada uno tiene sus méritos, pero difieren en
lo que miden. Por ejemplo, el CERT / CC produce una puntuación numérica que va de 0 a
180, pero considera factores tales como si la infraestructura de Internet está en riesgo y qué
tipo de condiciones previas son necesarias para explotar la vulnerabilidad [3] . La escala de
análisis de vulnerabilidades SANS considera si la debilidad se encuentra en las
configuraciones por defecto o sistemas de cliente o de servidor [4] . Sistema de puntuación
de propiedad de Microsoft intenta reflejar la dificultad de la explotación y el impacto global
de la vulnerabilidad [2] . Si bien es útil, estos sistemas de puntuación proporcionan un
enfoque de talla única para todos si se asume que el impacto de la vulnerabilidad es
constante para cada individuo y la organización.

CVSS también puede ser descrito por lo que no es. Es decir, no es ninguna de las
siguientes:

 Un sistema de calificación de la amenaza, como los utilizados por el Departamento

de Seguridad Nacional de EE.UU., y el SANS Internet Storm Center. [1] Estos
servicios proporcionan un sistema de alerta de asesoramiento para las amenazas a
EE.UU. críticos y redes informáticas mundiales, respectivamente.
 Una base de datos de vulnerabilidad, como la National Vulnerability Database
(NVD), Open Source Vulnerability Database (OSVDB) o Bugtraq. Estas bases de
datos proporcionan un rico catálogo de vulnerabilidades conocidas y los detalles de
la vulnerabilidad.
 Un sistema de identificación de la vulnerabilidad, como los estándares de la
industria Vulnerabilidades y Exposiciones Comunes (CVE) o un diccionario de
debilidad, como la enumeración Debilidad Común (CWE). Estos marcos están
diseñados para identificar de forma única y clasificar las vulnerabilidades de
acuerdo con las causas "que se manifiestan en el código, el diseño o la arquitectura".
[2]

1.3. ¿Cómo funciona CVSS?

Cuando las métricas de base se les asignan valores, la ecuación de base calcula una
puntuación que varía de 0 a 10, y se crea un vector, tal como se ilustra a continuación en la
Figura 2. El vector facilita la naturaleza "abierta" del marco. Se trata de una cadena de texto
que contiene los valores asignados a cada indicador, y se utiliza para comunicar
exactamente cómo se obtiene la puntuación de cada vulnerabilidad. Por lo tanto, el vector
siempre se debe mostrar con la puntuación de la vulnerabilidad. Vectores se explica
más adelante en la Sección 2.4 .

Figura 2: CVSS Métricas y Ecuaciones

Si se desea, la puntuación de base puede ser refinado mediante la asignación de valores a

los parámetros temporales y ambientales. Esto es útil con el fin de proporcionar un contexto
adicional para una vulnerabilidad que refleja con mayor precisión el riesgo que representa
la vulnerabilidad con el entorno del usuario. Sin embargo, esto no es necesario.
Dependiendo del propósito del uno, la puntuación base y el vector puede ser suficiente.

Si se necesita una puntuación temporal, la ecuación temporal combinará las métricas

temporales con la puntuación base para producir una puntuación temporal que varía de 0 a
10. Del mismo modo, si se necesita una puntuación del medio ambiente, la ecuación del
medio ambiente combinará las métricas ambientales con lo temporal puntuación para
producir una puntuación del medio ambiente que varía de 0 a 10. Base, ecuaciones
temporales y ambientales se describen completamente en la Sección 3.2 .

1.4. ¿Quién realiza el marcador?

En general, los indicadores de base y temporales se especifica por los analistas de anuncios
de la vulnerabilidad, los proveedores de productos de seguridad, o los proveedores de
aplicaciones, ya que suelen tener una mejor información sobre las características de una
vulnerabilidad que hacer los usuarios. Las métricas ambientales, sin embargo, son
especificadas por los usuarios, ya que están en mejores condiciones para evaluar el impacto
potencial de una vulnerabilidad en sus propios entornos.

1.5. ¿Quién posee CVSS?

CVSS está bajo el cuidado de la custodia del Foro de Respuesta a Incidentes y Equipos de
Seguridad (FIRST). [3] Sin embargo, es un estándar completamente libre y abierto.
Ninguna organización es "dueño" CVSS y la pertenencia a PRIMERA no está obligado a
usar o aplicar CVSS. Nuestra única petición es que las organizaciones que publican las
puntuaciones se ajustan a las directrices que se describen en este documento se
proporcionan tanto la puntuación y el vector de puntuación (que se describe más adelante)
para que otros puedan entender cómo se obtuvo la puntuación.

1.6. ¿Quién utiliza CVSS?

Muchas organizaciones están utilizando CVSS, y cada uno están descubriendo el valor de
diferentes maneras. A continuación se presentan algunos ejemplos:

 Vulnerabilidad Proveedores de anuncios: Tanto las organizaciones comerciales y

sin fines de lucro están publicando la base CVSS y puntuaciones temporales y
vectores en sus boletines de vulnerabilidad libres. En ellos se ofrecen mucha
información, incluyendo la fecha de descubrimiento, los sistemas afectados y los
vínculos con los proveedores para parchear recomendaciones.
 Vendedores de Software de aplicación: los proveedores de aplicaciones de
software están ofreciendo partituras y vectores base CVSS a sus clientes. Esto les
ayuda a comunicarse adecuadamente la gravedad de las vulnerabilidades en sus
productos y ayuda a sus clientes a manejar efectivamente el riesgo de TI.
 Organizaciones de usuarios: Muchas organizaciones del sector privado están
utilizando CVSS internamente para tomar decisiones de gestión de vulnerabilidades
informadas. Ellos usan escáneres o tecnologías de vigilancia para localizar
vulnerabilidades primera acogida y de aplicación. Lo que, combinado con la base de
datos de CVSS, las puntuaciones temporales y medioambientales para obtener
información sobre los riesgos más contextual y corregir esas vulnerabilidades que
representan el mayor riesgo para sus sistemas.
 Digitalización y Gestión de vulnerabilidad: las organizaciones de gestión Análisis
de vulnerabilidades de redes para vulnerabilidades de TI. Proporcionan la base
CVSS puntuaciones para cada vulnerabilidad en cada host. Las organizaciones de
usuarios utilizan este flujo de datos críticos para gestionar más eficazmente sus
infraestructuras de TI mediante la reducción de las interrupciones y la protección
contra amenazas informáticas maliciosos y accidentales.
 Seguridad (riesgo) Gestión: empresas de gestión de riesgos de seguridad usan las
calificaciones CVSS como entrada para calcular el nivel de riesgo o la amenaza de
una organización. Estas empresas utilizan aplicaciones sofisticadas que a menudo se
integran con la topología de la organización de la red, los datos de vulnerabilidades,
y la base de datos de activos para proporcionar a sus clientes con una perspectiva
más informada de su nivel de riesgo.
 Investigadores: El marco abierto de CVSS permite investigaciones para llevar a
cabo análisis estadísticos sobre las vulnerabilidades y las propiedades de
vulnerabilidad.

1.7. Definiciones Rápida

A lo largo de este documento se utilizan las siguientes definiciones:
  Vulnerabilidad: un error, error, debilidad o exposición de una aplicación, sistema,
dispositivo o servicio que podría dar lugar a un fallo de la confidencialidad,
integridad o disponibilidad.
 Amenaza: la probabilidad o frecuencia de que se produzcan daños.
 Riesgo: el impacto relativo de que una vulnerabilidad explotada tendría que el
entorno del usuario.

2. Grupos métricas
2.1. Métricas Base
El grupo de métricas de base captura las características de una vulnerabilidad que son
constantes con el tiempo ya través de entornos de usuario. Los acceso vectoriales, Access
Complejidad, y Autenticación métricas capturan cómo se accede a la vulnerabilidad y si se
requieren condiciones adicionales para explotarla. Los tres indicadores de impacto miden la
vulnerabilidad, si explota, afectará directamente a un activo de TI, donde los impactos se
definen independientemente como el grado de pérdida de confidencialidad, integridad y
disponibilidad. Por ejemplo, una vulnerabilidad podría provocar una pérdida parcial de la
integridad y la disponibilidad, pero sin pérdida de confidencialidad.

2.1.1. Acceso vectorial (AV)

Esta medida refleja la forma en que se explota la vulnerabilidad. Los valores posibles para
esta métrica se listan en la Tabla 1. Cuanto más remota que un atacante puede atacar a un
host, mayor será la puntuación de la vulnerabilidad.

Valor
Descripción
métrico
Una vulnerabilidad explotable con sólo acceso local requiere que el atacante de
tener ya sea acceso físico al sistema vulnerable o una cuenta (shell) local.
Local (L) Ejemplos de vulnerabilidades explotables localmente son ataques periféricos
tales como ataques DMA Firewire / USB, y escaladas de privilegios locales
(por ejemplo, sudo).
Una vulnerabilidad explotable con acceso a la red adyacente requiere que el
Red
atacante tener acceso a cualquiera de la emisión o dominio de colisión del
adyacente
software vulnerables. Ejemplos de redes locales incluyen subred IP local,
(A)
Bluetooth, IEEE 802.11, y el segmento de Ethernet local.
Una vulnerabilidad explotable con acceso a la red significa que el software
vulnerable está obligado a la pila de red y el atacante no necesita acceso a la red
Red (N) local o de acceso local. Esta vulnerabilidad se denomina a menudo "explotable
de forma remota". Un ejemplo de un ataque de red es un desbordamiento de
búfer de RPC.

Tabla 1: Evaluación de Acceso Vector Scoring

2.1.2. Acceso Complejidad (AC)

Esta métrica mide la complejidad del ataque necesario para explotar la vulnerabilidad, una
vez que un atacante ha ganado acceso al sistema de destino. Por ejemplo, considere un
desbordamiento de búfer en el servicio de Internet: una vez que el sistema de destino se
encuentra, el atacante puede lanzar un exploit a voluntad.

Otras vulnerabilidades, sin embargo, pueden requerir pasos adicionales con el fin de ser
explotados. Por ejemplo, una vulnerabilidad en un cliente de correo electrónico sólo se
explota después el usuario descarga y abre un archivo adjunto contaminada. Los valores
posibles para esta métrica se listan en la Tabla 2. Cuanto menor sea la complejidad
requerida, mayor será la puntuación vulnerabilidad.

Valor
Descripción
métrico
Existen condiciones de acceso especializados. Por ejemplo:

 En la mayoría de las configuraciones, la parte atacante ya debe haber

privilegios elevados o sistemas adicionales de la parodia, además del
sistema de ataque (por ejemplo, el secuestro de DNS).
Alta (H)  El ataque depende de métodos de ingeniería social que serían fácilmente
detectados por personal conocedor. Por ejemplo, la víctima debe realizar
varias acciones sospechosas o atípicos.
 La configuración vulnerable se ve muy raramente en la práctica.
 Si existe una condición de carrera, la ventana es muy estrecha.

Las condiciones de acceso son algo especializada; Los siguientes son ejemplos:

 La parte atacante se limita a un grupo de sistemas o usuarios en algún

nivel de autorización, posiblemente no sea de confianza.
 Parte de la información se debe recopilar antes de que un ataque exitoso
puede ser lanzado.
 La configuración afectado no es el predeterminado, y no se configura
Medium comúnmente (por ejemplo, una vulnerabilidad presente cuando el servidor
(M) realiza la autenticación de la cuenta de usuario a través de un plan
específico, pero no está presente para otro esquema de autenticación).
 El ataque requiere una pequeña cantidad de la ingeniería social que podría
ocasionalmente engañar a los usuarios prudentes (por ejemplo, ataques de
phishing que modifican una barra de estado de los navegadores de Internet
para mostrar una relación falsa, que tienen que estar en la lista de amigos
de alguien antes de enviar un mensaje instantáneo explotar).

Bajo (B) No existen las condiciones de acceso especializados o circunstancias atenuantes.

Los siguientes son ejemplos:

 El producto afectado por lo general requiere el acceso a una amplia gama

 de sistemas y usuarios, posiblemente anónimas y no confiables (por
ejemplo, web a Internet o servidor de correo).
 La configuración por defecto o afectada es omnipresente.
 El ataque puede ser realizado de forma manual y requiere poca habilidad o
la recopilación de información adicional.
 La condición de carrera es un perezoso (es decir, técnicamente es una
carrera, pero fácilmente se puede ganar).

Tabla 2: Acceso Complejidad Puntaje Evaluación

2.1.3. Autenticación (Au)

Esta métrica mide el número de veces que un atacante debe autenticarse en un objetivo con
el fin de explotar una vulnerabilidad. Esta métrica no mide la intensidad o la complejidad
del proceso de autenticación, sólo que no se requiere que un atacante proporcionar
credenciales antes de un exploit pueden ocurrir. Los valores posibles para esta métrica se
listan en la Tabla 3. Los menos casos de autenticación que se requieren, a mayor
puntuación vulnerabilidad.

Valor
Descripción
métrico
Explotación de la vulnerabilidad requiere que el atacante autenticar dos o más
Múltiple veces, incluso si las mismas credenciales se utilizan cada vez. Un ejemplo es que
(M) un atacante autenticación en un sistema operativo además de proporcionar las
credenciales para acceder a una aplicación alojada en ese sistema.
La vulnerabilidad es necesario que un atacante debe ser registrado en el sistema
Soltero
(por ejemplo, en una línea de comandos oa través de una sesión de escritorio o la
(S)
interfaz web).
Ninguno
La autenticación no está obligado a explotar la vulnerabilidad.
(N)

Tabla 3: Evaluación de autenticación de puntuación

La métrica debe aplicarse sobre la base de la autenticación del atacante requiere antes de
lanzar un ataque. Por ejemplo, si un servidor de correo es vulnerable a un comando que se
puede emitir antes de que un usuario se autentica, la métrica debe ser anotado como "None"
porque el atacante puede lanzar el exploit antes de que se necesitan credenciales. Si el
comando vulnerable sólo está disponible después de la autenticación tiene éxito, entonces
la vulnerabilidad debe ser anotado como "único" o "múltiple", dependiendo del número de
casos de autenticación debe producirse antes de emitir el mandato.

2.1.4. Impacto Confidencialidad (C)

Esta métrica mide el impacto en la confidencialidad de una vulnerabilidad explotada con
éxito. La confidencialidad se refiere a la limitación de acceso a la información y
divulgación a sólo los usuarios autorizados, así como para prevenir el acceso de, o
revelación, a los no autorizados. Los valores posibles para esta métrica se listan en la Tabla
4. Mayor impacto confidencialidad aumenta la puntuación de la vulnerabilidad.

Valor
Descripción
métrico
Ninguno
No hay impacto en la confidencialidad del sistema.
(N)
Existe una considerable divulgación de información. El acceso a algunos
archivos de sistema que es posible, pero el atacante no tiene control sobre lo que
Parcial (P)
se obtiene, o el alcance de la pérdida es limitada. Un ejemplo es una
vulnerabilidad que divulga sólo ciertas tablas de una base de datos.
No es la divulgación total de información, resultando en todos los archivos del
Completo
sistema están reveladas. El atacante es capaz de leer todos los datos del sistema
(C)
(memoria, archivos, etc)

Tabla 4: Confidencialidad de Evaluación de Impacto de puntuación

2.1.5. Impacto de Integridad (I)

Esta métrica mide el impacto a la integridad de una vulnerabilidad explotada con éxito. La
integridad se refiere a la fiabilidad y veracidad de la información garantizada. Los valores
posibles para esta métrica se enumeran en la Tabla 5. Mayor impacto integridad aumenta la
puntuación de la vulnerabilidad.

Valor
Descripción
métrico
Ninguno
No hay ningún impacto a la integridad del sistema.
(N)
La modificación de algunos archivos o información del sistema es posible, pero
el atacante no tiene control sobre lo que puede ser modificada, ni el alcance de lo
que el atacante puede afectar es limitado. Por ejemplo, los archivos del sistema o
Parcial (P)
de la aplicación pueden ser sobrescritos o modificados, pero o bien el atacante
no tiene control sobre los archivos que se ven afectados o el atacante puede
modificar archivos en tan sólo un contexto limitado o alcance.
Hay un compromiso total de la integridad del sistema. Hay una pérdida completa
Completo de la protección del sistema, lo que resulta en todo el sistema se vea
(C) comprometida. El atacante es capaz de modificar cualquier archivo en el sistema
de destino.

Tabla 5: Impact Integridad Puntaje Evaluación

2.1.6 Impacto Disponibilidad (A)

Esta métrica mide el impacto de la disponibilidad de una vulnerabilidad explotada con
éxito. La disponibilidad se refiere a la accesibilidad de los recursos de información. Los
ataques que consumen ancho de banda, ciclos de procesador, espacio en disco o todo el
impacto de la disponibilidad de un sistema. Los valores posibles para esta métrica se listan
en la Tabla 6. Aumento de la disponibilidad de impacto aumenta la puntuación de la
vulnerabilidad.

Valor
Descripción
métrico
Ninguno
No hay impacto en la disponibilidad del sistema.
(N)
Hay una disminución del rendimiento o interrupciones en la disponibilidad de
Parcial (P) recursos. Un ejemplo es un ataque de inundación basado en la red que permite
un número limitado de conexiones exitosas a un servicio de Internet.
Completo Hay una parada total del recurso afectado. El atacante puede hacer que el
(C) recurso totalmente disponible.

Tabla 6: Disponibilidad de Evaluación de Impacto de puntuación

2.2. Métricas temporales

La amenaza planteada por una vulnerabilidad puede cambiar con el tiempo. Tres de estos
factores que CVSS capturas son: la confirmación de los detalles técnicos de una
vulnerabilidad, el estado de remediación de la vulnerabilidad, y la disponibilidad de código
de explotación o técnicas. Desde métricas temporales son opcionales que incluyen cada uno
un valor de métrica que no tiene ningún efecto en la partitura. Este valor se utiliza cuando
el usuario siente la métrica particular no existe y desea "pasar por alto" la misma.

2.2.1. Explotabilidad (E)

Esta métrica mide el estado actual de explotación de técnicas o disponibilidad del código.
Disponibilidad pública de fácil de usar el código de explotación aumenta el número de
atacantes potenciales mediante la inclusión de aquellos que son no calificados, lo que
aumenta la gravedad de la vulnerabilidad.

Inicialmente, la explotación en el mundo real puede ser sólo teórica. La publicación de

código de tipo conceptual y funcional de código que aproveche, o detalles técnicos
suficientes necesarios para explotar la vulnerabilidad puede seguir. Además, el código de
explotación disponible puede pasar de una demostración de prueba de concepto para
explotar el código que tiene éxito en la explotación de la vulnerabilidad de forma
coherente. En casos graves, puede ser entregado como la carga útil de un gusano o un virus
basado en la red. Los valores posibles para esta métrica se listan en la Tabla 7. Entre más
fácilmente una vulnerabilidad puede ser explotada, mayor será la puntuación
vulnerabilidad.

Valor Descripción
 métrico
No probada Sin el código de explotación está disponible, o un exploit es totalmente
(U) teórica.
A prueba de concepto de código que aproveche la demostración o un ataque
Proof-of-
que no es práctico para la mayoría de los sistemas están disponibles. El código
Concept
o la técnica no es funcional en todas las situaciones y pueden requerir una
(POC)
modificación sustancial por un atacante experto.
Funcional Funcional de código que aproveche esta disponible. El código funciona en la
(F) mayoría de las situaciones en que exista la vulnerabilidad.
O bien la vulnerabilidad es explotable por código autónoma móvil funcional, o
ningún exploit que se requiere (disparador manual) y los detalles están
Alta (H) ampliamente disponibles. El código funciona en cada situación, o activamente
está siendo entregado a través de un agente autónomo móvil (tal como un
gusano o un virus).
No Definido La asignación de este valor para la métrica no influir en el marcador. Es una
(ND) señal de que la ecuación para saltar esta métrica.

Tabla 7: Evaluación de explotabilidad de puntuación

2.2.2. Nivel de Remediación (RL)

El nivel de saneamiento de una vulnerabilidad es un factor importante para establecer

prioridades. La vulnerabilidad no parcheada típico es cuando se publicó inicialmente.
Soluciones provisionales o revisiones pueden ofrecer remediación provisional hasta que se
emita un parche oficial o actualización.Cada una de estas etapas respectivas ajusta el
marcador temporal a la baja, lo que refleja la urgencia decreciente a medida que la
recuperación sea firme. Los valores posibles para esta métrica se listan en la Tabla 8.
Cuanto menos una solución oficial y permanente, mayor será la puntuación vulnerabilidad
es.

Valor
Descripción
métrico
Fix Oficial Una solución completa de proveedores está disponible. O bien el vendedor ha
(DE) publicado un parche oficial, o una actualización que está disponible.
Arreglo
Hay una solución oficial, pero temporal disponible. Esto incluye los casos en
temporal
que el vendedor emite un temporal de hotfix, herramienta o solución.
(TF)
No es una solución no oficial y no del proveedor disponible. En algunos
casos, los usuarios de la tecnología afectada crearán un pedazo de su propia o
Solución (W)
proporcionar pasos para solucionar o de otra manera de mitigar la
vulnerabilidad.
No
disponible No es ya sea ninguna solución disponible o es imposible de aplicar.
(U)
No Definido La asignación de este valor para la métrica no influir en el marcador. Es una
(ND) señal de que la ecuación para saltar esta métrica.
Tabla 8: Remediación Nivel de evaluación de puntuación

2.2.3. Informe de Confianza (RC)

Esta métrica mide el grado de confianza en la existencia de la vulnerabilidad y la

credibilidad de los detalles técnicos conocidos. A veces, sólo la existencia de
vulnerabilidades se hacen públicos, pero sin detalles específicos. La vulnerabilidad puede
ser corroborado más tarde y luego confirmó mediante el reconocimiento por el creador o el
proveedor de la tecnología afectada. La urgencia de una vulnerabilidad es mayor cuando se
conoce de una vulnerabilidad que existe con certeza. Esta medida también sugiere el nivel
de conocimientos técnicos a disposición de los posibles atacantes.Los valores posibles para
esta métrica se listan en la Tabla 9. Cuanto más una vulnerabilidad es validado por el
proveedor o de otras fuentes de buena reputación, mayor será la puntuación.

Valor métrico Descripción

Hay una sola fuente no confirmada o posiblemente múltiples informes
Sin confirmar
contradictorios. Hay poca confianza en la validez de los informes. Un
(UC)
ejemplo es un rumor que surge desde el metro de piratería informática.
Existen múltiples fuentes no oficiales, que pueden incluir las compañías de
No
seguridad independientes u organizaciones de investigación. En este punto
corroboradas
no puede estar en conflicto detalles técnicos o alguna otra ambigüedad
(UR)
persistente.
La vulnerabilidad ha sido reconocida por el vendedor o de la tecnología
Confirmado afectada. La vulnerabilidad también puede ser confirmado cuando su
(C) existencia se ve confirmada por un evento externo, como la publicación de
código funcional o prueba de concepto exploit o explotación generalizada.
No Definido La asignación de este valor para la métrica no influir en el marcador. Es una
(ND) señal de que la ecuación para saltar esta métrica.

Tabla 9: Informe de Evaluación de Confianza de puntuación

2.3. Métricas Ambientales

Diferentes ambientes pueden tener una inmensa influencia sobre el riesgo de que una
vulnerabilidad supone para una organización y sus grupos de interés.El grupo de
parámetros medioambientales CVSS captura las características de una vulnerabilidad que
se asocia con el entorno informático del usuario. Desde métricas ambientales son
opcionales que incluyen cada uno un valor de métrica que no tiene ningún efecto en la
partitura. Este valor se utiliza cuando el usuario siente la métrica particular no existe y
desea "pasar por alto" la misma.

2.3.1. Potencial Collateral Damage (CDP)

Esta métrica mide el potencial de pérdidas de vidas o bienes materiales a través del daño o
robo de bienes o equipos. La métrica también puede medir la pérdida económica de la
productividad o los ingresos. Los valores posibles para esta métrica se enumeran en la
Tabla 10. Naturalmente, cuanto mayor es el potencial de daño, mayor será la puntuación
vulnerabilidad.

Valor
Descripción
métrico
Ninguno No hay posibilidad de pérdida de la vida, los bienes físicos, la productividad o
(N) los ingresos.
Una explotación exitosa de esta vulnerabilidad puede originar una leve daño
Bajo (B) físico oa la propiedad. O bien, puede haber una ligera pérdida de ingresos o la
productividad de la organización.
Una explotación exitosa de esta vulnerabilidad podría ocasionar daños físicos
Bajo-Medio
oa la propiedad moderado. O bien, puede haber una pérdida moderada de los
(LM)
ingresos o la productividad de la organización.
Una explotación exitosa de esta vulnerabilidad podría ocasionar daños físicos
Medio-alto
oa la propiedad o pérdida significativa. O bien, puede haber una pérdida
(MH)
significativa de los ingresos o la productividad.
Una explotación exitosa de esta vulnerabilidad podría ocasionar daños físicos
Alta (H) oa la propiedad y la pérdida catastrófica. O bien, puede haber una pérdida
catastrófica de los ingresos o la productividad.
No
La asignación de este valor para la métrica no influir en el marcador. Es una
Definido
señal de que la ecuación para saltar esta métrica.
(ND)

Tabla 10: Collateral Damage Evaluación Scoring Potencial

Está claro que cada organización debe determinar por sí mismos el significado preciso de
"leve, moderado, significativo, y catastrófico."

2.3.2. Distribución Target (TD)

Esta métrica mide la proporción de los sistemas vulnerables. Se entiende como un indicador
específico del entorno con el fin de aproximar el porcentaje de sistemas que podrían verse
afectados por la vulnerabilidad. Los valores posibles para esta métrica se enumeran en la
Tabla 11. Cuanto mayor es la proporción de los sistemas vulnerables, mayor será la
puntuación.

Valor
Descripción
métrico
No existen sistemas de destino, o los objetivos son tan altamente
Ninguno
especializados que sólo existen en un entorno de laboratorio. Efectivamente
(N)
0% del medio ambiente está en riesgo.
Existen unos objetivos dentro del entorno, pero en pequeña escala. Entre el 1%
Bajo (B)
- 25% de la totalidad del hábitat está en peligro.
Medium Existen unos objetivos dentro del entorno, pero a una escala media. Entre el
(M) 26% - 75% de la totalidad del hábitat está en peligro.
Alta (H) Existen unos objetivos dentro del entorno en una escala considerable. Entre
 76% - 100% de la totalidad del hábitat se considera en riesgo.
No Definido La asignación de este valor para la métrica no influir en el marcador. Es una
(ND) señal de que la ecuación para saltar esta métrica.

Tabla 11: Evaluación de puntuación Distribución Target

2.3.3. Requisitos de seguridad (CR, IR, AR)

Estas métricas permiten al analista para personalizar la puntuación CVSS dependiendo de

la importancia del activo que afectaba a una organización de usuarios, medido en términos
de confidencialidad, integridad y disponibilidad, es decir, si un activo es compatible con
una función de negocio para el que la disponibilidad es más importante, el analista puede
asignar un valor mayor a disponibilidad, en relación con la confidencialidad y la integridad.
Cada requisito de seguridad tiene tres valores posibles: bajo, medio o alto.

El efecto total de la puntuación del medio ambiente está determinado por las mediciones
del impacto de bases correspondiente (por favor, tenga en cuenta que la base de la
confidencialidad, integridad y disponibilidad de impacto métricas, a sí mismos, no se
cambian). Es decir, estos parámetros modifican la puntuación del medio ambiente
volviendo a ponderar la (base) la confidencialidad, integridad y mediciones del impacto de
la disponibilidad. Por ejemplo, la métrica de impacto confidencialidad (C) ha aumentado de
peso, si el requisito de confidencialidad (CR) es alta. Del mismo modo, la métrica impacto
confidencialidad ha disminuido de peso si el requisito de confidencialidad es bajo. La
ponderación métrica impacto confidencialidad es neutral si el requisito de confidencialidad
es medio. Esta misma lógica se aplica a los requisitos de disponibilidad y la integridad.

Tenga en cuenta que la obligación de confidencialidad no afectará la calificación ambiental

si el impacto confidencialidad (base) se establece en ninguno. Además, el aumento de la
obligación de confidencialidad de gama media-alta no va a cambiar la puntuación
medioambiental cuando las métricas (base) de impacto se establecen en completarse. Esto
se debe a la puntuación sub impacto (parte de la puntuación total que calcula el impacto) ya
se encuentra en un valor máximo de 10.

Los valores posibles para los requisitos de seguridad se listan en la Tabla 12. Por razones
de brevedad, la misma tabla se utiliza para todas las tres métricas. Cuanto mayor es la
exigencia de la seguridad, mayor será la puntuación (recuerde que el medio se considera
por defecto). Estas métricas se modifique la puntuación tanto como de más o menos 2,5.

Valor
Descripción
métrico
Pérdida de [confidencial | integridad | disponibilidad] es probable que tenga un
Bajo (B) efecto adverso limitado sobre la organización o individuos asociados con la
organización (por ejemplo, empleados, clientes).
Pérdida de [confidencial | integridad | disponibilidad] es probable que tenga un
Medium
efecto adverso sobre la organización o individuos asociados con la
(M)
organización (por ejemplo, empleados, clientes).
 Pérdida de [confidencial | integridad | disponibilidad] es probable que tenga un
Alta (H) efecto adverso catastrófico en la organización o individuos asociados con la
organización (por ejemplo, empleados, clientes).
No
La asignación de este valor para la métrica no influir en el marcador. Es una
Definido
señal de que la ecuación para saltar esta métrica.
(ND)

Tabla 12: Requisitos de seguridad de puntuación de Evaluación

En muchas organizaciones, los recursos de TI están etiquetados con puntuaciones criticidad

basado en la ubicación de la red, la función empresarial y la posibilidad de la pérdida de
ingresos o de la vida. Por ejemplo, el gobierno de EE.UU. asigna todos los activos de TI sin
clasificar a un grupo de activos que se llama un sistema. Cada sistema debe ser asignado
tres calificaciones "potencial impacto" para mostrar el impacto potencial en la organización
si el sistema se ve comprometida en función de tres objetivos de seguridad:
confidencialidad, integridad y disponibilidad. Por lo tanto, todos los activos de TI no
clasificada en el gobierno de EE.UU. tiene una calificación de impacto potencial de bajo,
moderado o alto con respecto a los objetivos de seguridad de la confidencialidad, integridad
y disponibilidad. Este sistema de clasificación se describe dentro de Federal Information
Processing Standards (FIPS) 199 . CVSS sigue este modelo general de FIPS 199, pero no
exige a las organizaciones a utilizar cualquier sistema en particular para la asignación de la
baja, media, y las calificaciones de alto impacto.

2.4. Base, temporal, Vectores Ambientales

Cada métrica en el vector formado por el nombre abreviado métrica, seguido por un ":"
(dos puntos), entonces el valor de la métrica abreviada. El vector se enumeran estos
parámetros en un orden predeterminado, utilizando el carácter "/" (barra) para separar las
métricas. Si no se puede utilizar a una métrica temporal o del medio ambiente, se le da un
valor de "ND" (no definida). La base, vectores temporales y ambientales se muestran a
continuación en la Tabla 13.

Valor
Descripción
métrico
AV: [L, A, N] / AC: [H, M, L] / Au: [M, S, N] / C: [N, P, C] / I: [N, P, C] /
Base
Un: [N, P, C]
Temporal E: [U, POC, F, H, ND] / RL: [DE, TF, W, U, ND] / RC: [UC, UR, C, ND]
CDP: [N, L, LM, MH, H, ND] / TD: [N, L, M, H, ND] / CR: [L, M, H, ND] /
Ambiental
IR: [L, M, H , ND] / AR: [L, M, H, ND]

Tabla 13: Base, temporales y Ambientales Vectores

Por ejemplo, una vulnerabilidad con los valores de indicadores de base de "Acceso
vectorial: Bajo, Acceso Complejidad: Media, autenticación: Ninguno, Impacto
Confidencialidad: Ninguno, Impacto Integridad: Parcial, Impacto Disponibilidad:
Complete" tendría el siguiente vector base: "AV: L / AC: M / Au: N / A: N / I: P / D: C. "
3. Scoring

3.1. Directrices
A continuación se presentan las directrices que deben ayudar a los analistas al anotar
vulnerabilidades.

3.1.1. General

TIP DE PUNTUACIÓN # 1: Vulnerabilidad de puntuación no debe tener en cuenta toda la

interacción con otras vulnerabilidades. Es decir, cada vulnerabilidad se debe anotó de forma
independiente.

TIP DE PUNTUACIÓN # 2: Al puntuar una vulnerabilidad, considerar el impacto directo a

sólo el host de destino. Por ejemplo, considere un cross-site scripting vulnerabilidad: el
impacto en el sistema de un usuario podría ser mucho mayor que el impacto para el host de
destino. Sin embargo, esto es un efecto indirecto. Vulnerabilidades cross-site scripting
deben ser marcados con un impacto a la confidencialidad o disponibilidad, y el impacto
parcial a la integridad.

TIP DE PUNTUACIÓN # 3: Muchas aplicaciones, como servidores Web, se pueden

ejecutar con diferentes privilegios, y marcando el impacto implica hacer una suposición en
cuanto a qué se utilizan los privilegios. Por lo tanto, las vulnerabilidades deben ser
calificadas de acuerdo con los privilegios de uso más frecuente. Puede que esto no
necesariamente reflejan las mejores prácticas de seguridad, especialmente para las
aplicaciones de cliente que a menudo se ejecutan con privilegios de root. En caso de duda
en cuanto a que los privilegios son los más comunes, los analistas que califican deben
asumir una configuración predeterminada.

TIP DE PUNTUACIÓN # 4: Al puntuar el impacto de una vulnerabilidad que tiene

múltiples métodos de explotación (vectores de ataque), el analista debe elegir el método de
explotación que causa el mayor impacto, en lugar del método que es más común, o más
fácil de realizar. Por ejemplo, si existe exploit funcional de código para una plataforma,
pero no en otro, luego de explotabilidad se debe establecer en "funcional". Si dos variantes
separadas de un producto están en desarrollo en paralelo (por ejemplo PHP 4.x 5.x PHP), y
existe una solución para una variante, pero no en otro, entonces el nivel de reparación,
deben ajustarse a "No disponible".

3.1.2. Métricas Base

3.1.2.1. Acceso Vector

TIP DE PUNTUACIÓN # 5: Cuando una vulnerabilidad puede ser explotada a nivel local y
de la red, el valor "red" se debe elegir. Cuando una vulnerabilidad puede ser explotada
tanto a nivel local y de redes adyacentes, pero no de redes remotas, el valor "red
adyacentes" debe ser elegido. Cuando una vulnerabilidad puede ser explotada de la red
adyacente y redes remotas, el valor "red" se debe elegir.

TIP DE PUNTUACIÓN # 6: Muchas aplicaciones cliente y los servicios públicos tienen

vulnerabilidades locales que pueden ser explotadas de forma remota, ya sea a través de
acciones de usuario cómplices oa través de un tratamiento automatizado. Por ejemplo,
herramientas de descompresión y los antivirus escanean automáticamente los mensajes de
correo electrónico entrantes. Además, aplicaciones de ayuda (suites de oficina, visores de
imágenes, reproductores multimedia, etc) son explotados cuando los archivos maliciosos
que se intercambian a través de correo electrónico o descargado desde sitios web. Por lo
tanto, los analistas deben anotar el Vector acceso de estas vulnerabilidades como "Red".

3.1.2.2. Autenticación

TIP DE PUNTUACIÓN # 7: Si la vulnerabilidad existe en un esquema de autenticación en

sí (por ejemplo, PAM, Kerberos) o un servicio anónimo (por ejemplo, un servidor FTP
público), la métrica debe ser evaluado como "None" porque el atacante puede explotar la
vulnerabilidad sin suministrar credenciales válidas. Presencia de una cuenta de usuario por
defecto puede ser considerado como "único" o la autenticación "múltiple" (según el caso),
pero puede tener explotabilidad de "alta" si se dan a conocer las credenciales.

TIP DE PUNTUACIÓN # 8: Es importante tener en cuenta que la métrica de autenticación

es diferente de Acceso Vector. Aquí, los requisitos de autenticación se consideran una vez
que ya se ha accedido al sistema . En concreto, para las vulnerabilidades explotables
localmente, este indicador sólo debe estar ajustado a "single" o "múltiples" si se necesita
autenticación más allá de lo necesario para iniciar sesión en el sistema. Un ejemplo de una
vulnerabilidad explotable de forma local que requiere autenticación es uno que afecta a un
motor de base de datos escucha en un socket de dominio Unix (o alguna otra interfaz fuera
de la red). Si el usuario debe autenticarse como usuario de base de datos válida para
explotar la vulnerabilidad, entonces este indicador se debe establecer en "simple".

3.1.2.3. Confidencialidad, Integridad, Disponibilidad Impactos

TIP DE PUNTUACIÓN # 9: Las vulnerabilidades que dan acceso a nivel de raíz deben ser
marcados con la pérdida completa de la confidencialidad, integridad y disponibilidad,
mientras que las vulnerabilidades que dan acceso a nivel de usuario deben ser marcados con
la pérdida parcial de la confidencialidad, integridad y disponibilidad. Por ejemplo, una
violación de integridad que permite a un atacante modificar un archivo de contraseña del
sistema operativo debe ser anotado con el impacto completo de la confidencialidad,
integridad y disponibilidad.

TIP DE PUNTUACIÓN # 10: Las vulnerabilidades con una pérdida parcial o completa de
la integridad también pueden causar un impacto a disponibilidad. Por ejemplo, un atacante
que es capaz de modificar los registros puede probablemente también eliminarlos.
3.2. Ecuaciones
La puntuación ecuaciones y algoritmos para la base, grupos de métricas temporales y
ambientales se describen a continuación. Continuación del debate sobre el origen y las
pruebas de estas ecuaciones se encuentra disponible en www.first.org / CVSS.

3.2.1. Base Ecuación

La ecuación de base es la base de la puntuación CVSS. La ecuación de base (fórmula

versión 2.10) es:

BaseScore = round_to_1_decimal (((0,6 * Impacto) + (0.4 *

explotabilidad) -1.5) * f (Impacto))

Impacto = 10,41 * (1 - (1-ConfImpact) * (1-IntegImpact) * (1-

AvailImpact))

Explotabilidad = 20 * AccessVector * AccessComplexity * Autenticación

f (impacto) = 0 si Impacto = 0, 1.176 lo contrario

AccessVector = AccessVector caso de

requiere acceso local: 0.395
red adyacente accesible: 0.646
red accesible: 1.0

AccessComplexity = AccessComplexity caso de

alto: 0,35
media: 0.61
baja: 0,71

Autenticación = caso de autenticación de

requiere varias instancias de autenticación: 0.45
requiere sola instancia de autenticación: 0.56
no requiere autenticación: 0.704

ConfImpact = ConfidentialityImpact caso de

none: 0.0
parcial: 0.275
completo: 0.660

IntegImpact = IntegrityImpact caso de

none: 0.0
parcial: 0.275
completo: 0.660

AvailImpact = AvailabilityImpact caso de

none: 0.0
parcial: 0.275
completo: 0.660
3.2.2. Ecuación Temporal

Si se emplea, la ecuación temporal combinará las métricas temporales con el puntaje base
para producir una puntuación temporal que va de 0 a 10. Además, la puntuación temporal
producirá un resultado temporal no superior a la puntuación de base, y no superior a 33%
más bajos que la puntuación de base. La ecuación temporal es:

TemporalScore = round_to_1_decimal (BaseScore * explotabilidad

* RemediationLevel * ReportConfidence)

Explotabilidad = caso de explotabilidad de

no probada: 0.85
prueba-de-concepto: 0.9
funcional: 0,95
alto: 1,00
no definido: 1,00

RemediationLevel = RemediationLevel caso de

-fix oficial: 0,87
-solución temporal: 0,90
solución: 0.95
disponible: 1,00
no definido: 1,00

ReportConfidence = ReportConfidence caso de

sin confirmar: 0.90
no corroborada: 0.95
confirmado: 1.00
no definido: 1,00

3.2.3. Ecuación Ambiental

Si se emplea, la ecuación ambiental combinará las métricas ambientales con la puntuación

temporal para producir una puntuación ambiental que va de 0 a 10. Además, esta ecuación
producirá una puntuación que no supere la puntuación temporal. La ecuación del medio
ambiente es:

EnvironmentalScore = round_to_1_decimal ((AdjustedTemporal +

(10-AdjustedTemporal) * CollateralDamagePotential) * TargetDistribution)

AdjustedTemporal = TemporalScore recalculado con el sub-ecuación

BaseScores Impacto sustituido por la ecuación AdjustedImpact

AdjustedImpact = min (10,10.41 * (1 - (1-ConfImpact * ConfReq) * (1-

IntegImpact * IntegReq)
* (1-AvailImpact * AvailReq)))

CollateralDamagePotential = CollateralDamagePotential caso de

none: 0
 baja: 0.1
baja-media: 0.3
medio-alto: 0.4
alto: 0.5
no definido: 0

TargetDistribution = TargetDistribution caso de

none: 0
baja: 0,25
media: 0.75
alto: 1,00
no definido: 1,00

ConfReq = ConfReq caso de

baja: 0.5
media: 1.0
alto: 1,51
no definido: 1.0

IntegReq = IntegReq caso de

baja: 0.5
media: 1.0
alto: 1,51
no definido: 1.0

AvailReq = AvailReq caso de

baja: 0.5
media: 1.0
alto: 1,51
no definido: 1.0

3.3. Ejemplos
A continuación, ofrecemos ejemplos de cómo se utiliza CVSS para tres vulnerabilidades
diferentes.

3.3.1. CVE-2002-0392

Considere CVE-2002-0392: Apache fragmentada-Encoding daños en la memoria de la

vulnerabilidad. En junio de 2002, una vulnerabilidad fue descubierta en el medio por el cual
el servidor web Apache maneja peticiones codificadas utilizando codificación fragmentada.
La Fundación Apache informó que una exitosa explotación puede llevar a la denegación de
servicio, en algunos casos, y en otros, la ejecución de código arbitrario con los privilegios
del servidor web.

Dado que la vulnerabilidad puede ser explotada de forma remota, el acceso Vector es
"Red". El acceso complejidad es "baja", porque no hay circunstancias adicionales deben
existir para esta vulnerabilidad para tener éxito; el atacante sólo tiene que crear un mensaje
explotar adecuada para el oyente Web Apache. No se requiere autenticación para activar la
vulnerabilidad (cualquier usuario de Internet puede conectarse al servidor web), por lo que
la métrica de autenticación es "Ninguno".

Dado que la vulnerabilidad puede ser explotada mediante varios métodos con diferentes
resultados, los resultados tienen que ser generados para cada método y el más alto utilizado.

Si la vulnerabilidad es explotada para ejecutar código arbitrario con los permisos del
servidor web, alterando así el contenido web y, posiblemente, la visualización de usuario o
la información de configuración local (incluyendo los ajustes de conexión y contraseñas
para las bases de datos back-end), la confidencialidad y la métrica de impacto Integridad se
establecen a "parcial". En conjunto, estos indicadores dan como resultado un puntaje base
de 6,4.

Si la vulnerabilidad es explotada para causar una denegación de servicio, la disponibilidad

de impacto se ajusta en "Finalizar". En conjunto, los indicadores producen una puntuación
básica de 7,8. Dado que esta es la puntuación base más alta posible de las opciones de
explotación, que se utiliza como la puntuación de base.

Por tanto, el vector base para esta vulnerabilidad es: AV: N / AC: L / Au: N / A: N / I: N /
A: C.

Se conoce el código Exploit de existir y, por tanto, de explotabilidad se establece en

"funcional". La fundación Apache ha lanzado parches para esta vulnerabilidad (disponible
tanto para 1.3 y 2.0) y así Remediación Nivel es "oficial-Fix". Naturalmente, la confianza
del informe es "Confirmado". Estas métricas ajustar la puntuación de base para dar una
puntuación temporal de 6,4.

Suponiendo que la disponibilidad es más importante de lo habitual en los sistemas de

destino, y en función de los valores de Collateral Damage Distribución Potencial y Target,
la calificación ambiental podría variar entre 0.0 ("Ninguno", "Ninguno") y 9.2 ("High", "
High "). Los resultados se resumen a continuación.

-------------------------------------------------- -
BASE MÉTRICO EVALUACIÓN PUNTAJE
-------------------------------------------------- -
Acceso Vector [Red] (1.00)
Acceso Complejidad [Bajo] (0.71)
Autenticación [Ninguno] (0.704)
Impacto Confidencialidad [Ninguno] (0.00)
Impacto Integridad [Ninguno] (0.00)
Impacto disponibilidad [Complete] (0.66)
-------------------------------------------------- -
FORMULA BASE BASE SCORE
-------------------------------------------------- -
Impacto = 10,41 * (1 - (1) * (1) * (0,34)) == 6,9
Explotabilidad = 20 * 0,71 * 0,704 * 1 == 10.0
f (Impacto) = 1.176
BaseScore = (0.6 * 6.9 + 0.4 * 10.0 1.5) * 1,176
 == (7.8)
-------------------------------------------------- -

-------------------------------------------------- -
TEMPORAL PUNTUACIÓN EVALUACIÓN METRICA
-------------------------------------------------- -
Explotabilidad [funcional] (0.95)
Nivel Remediación [Oficial-Fix] (0.87)
Informe de confianza [Confirmado] (1.00)
-------------------------------------------------- -
FORMULA TEMPORAL SCORE TEMPORAL
-------------------------------------------------- -
round (7.8 * 0.95 * 0.87 * 1.00) == (6.4)
-------------------------------------------------- -

-------------------------------------------------- -
AMBIENTAL MÉTRICO EVALUACIÓN PUNTAJE
-------------------------------------------------- -
Daño colateral potencial [Ninguno - Alto] {0 - 0.5}
Distribución Target [Ninguno - Alto] {0-1,0}
Req Confidencialidad. [Medio] (1.0)
Req Integridad. [Medio] (1.0)
Disponibilidad Req. [Alto] (1.51)
-------------------------------------------------- -
FORMULA AMBIENTAL SCORE AMBIENTAL
-------------------------------------------------- -
AdjustedImpact = min (10,10.41 * (1 - (1-0 * 1) * (1-0 * 1)
* (1-0,66 * 1,51)) == (10,0)
AdjustedBase = ((0,6 * 10) + (0.4 * 10.0) 1.5) * 1,176
== (10,0)
AdjustedTemporal == (10 * 0,95 * 0,87 * 1,0) == (8.3)
EnvScore = round ((8,3 + (10-8,3) * {0-0,5}) * {0-1})
== (0,00-9,2)
-------------------------------------------------- -

3.3.2. CVE-2003-0818

Considere CVE-2003-0818: Microsoft Windows biblioteca ASN.1 Entero vulnerabilidad

en el tratamiento. En septiembre de 2003, una vulnerabilidad fue descubierta que se dirige a
la biblioteca ASN.1 de todos los sistemas operativos de Microsoft. Una explotación exitosa
de esta vulnerabilidad se traduce en una situación de desbordamiento de búfer que permite
al atacante ejecutar código arbitrario con administrativo (sistema) privilegios.

Se trata de una vulnerabilidad explotable de forma remota que no requiere autenticación,

por lo tanto el acceso Vector es "Red" y "Autenticación" es "Ninguno". El acceso
complejidad es "baja", porque no hay acceso adicional o circunstancias especiales deben
existir para que el ataque tenga éxito. Cada uno de los indicadores de impacto se ajusta en
"Complete", debido a la posibilidad de un compromiso total del sistema. En conjunto, estos
indicadores producen una puntuación máxima de la base 10.0.
Por tanto, el vector base para esta vulnerabilidad es: AV: N / AC: L / Au: N / A: C / I: C /
D: C.

Existen exploits conocidos para esta vulnerabilidad y así explotabilidad es "funcional". En

febrero de 2004, Microsoft lanzó el parche MS04-007, haciendo que la remediación de
nivel "oficial-Fix", y el Informe de Confianza "Confirmado". Estas métricas ajustar la
puntuación de base para dar una puntuación temporal de 8,3.

Suponiendo que la disponibilidad es menos importante de lo habitual en los sistemas de

destino, y en función de los valores de Collateral Damage Distribución Potencial y Target,
la calificación ambiental podría variar entre 0.0 ("Ninguno", "Ninguno") y 9.0 ("High", "
High "). Los resultados se resumen a continuación.

-------------------------------------------------- - BASE
MÉTRICO PUNTUACIÓN EVALUACIÓN
-------------------------------------------- -------- Acceso Vector [Red]
(1.00) El acceso Complejidad [Bajo] (0.71) Autenticación [Ninguno]
(0.704) La confidencialidad de impacto [Complete] (0.66) La integridad de
impacto [Complete] (0.66) Impacto disponibilidad [ Completar] (0.66)
---------- ----------------------------------- ------- FORMULA BASE SCORE
---------------------------------------- ------------ Impacto = 10,41 *
(1 - (0.34 * 0.34 * 0.34)) == 10.0 explotabilidad = 20 * 0,71 * 0,704 * 1
== 10.0 f (Impacto) = 1,176 BaseScore = ((0.6 * 10.0) + (0.4 * 10.0) 1.5)
* 1.176 == (10.0) -----------------------------
--------------------------------------------------
------------------------- TEMPORAL PUNTUACIÓN EVALUACIÓN MÉTRICO
--------------------- ------------------------------- explotabilidad
[funcional] (0.95) Remediación Nivel [Oficial-Fix] (0,87) Informe de
Confianza [Confirmado] (1.00) ----------
---------------------------------- -------- FORMULA SCORE TEMPORAL
--------------------------------------- ------------- redonda (10,0 *
0,95 * 0,87 * 1,00) == (8.3) ----------------------
--------------------------------------------------
-------------------------------- AMBIENTAL MÉTRICO EVALUACIÓN PUNTAJE
-------------- -------------------------------------- Daño colateral
potencial [Ninguno - Alto] {0 - 0.5 } Target Distribution [Ninguno -
Alto] {0-1,0} Confidencialidad Req. [Medio] (1.0) Integridad Req.
[Medio] (1.0) Disponibilidad Req. [Bajo] (0.5)
-------------------------------------------- -------- FORMULA SCORE
AMBIENTAL --------------------------------------- -------------
AdjustedImpact = 10,41 * (1 - (1-0,66 * 1) * (1-0,66 * 1) * (1-0,66 *
0,5)) == 9,6 AdjustedBase = ( (0.6 * 9.6) + (0.4 * 10.0) 1.5) * 1.176 ==
(9.7) AdjustedTemporal == (9,7 * 0,95 * 0,87 * 1,0) == (8.0) EnvScore =
round ((8,0 + (10-8,0) * {0-0,5}) * {0-1}) == (0,00-9,0)
------------------------------ ----------------------

3.3.3. CVE-2003-0062

Considere CVE-2003-0062: Desbordamiento de búfer en NOD32 Antivirus. NOD32 es una

aplicación de software antivirus desarrollado por Eset. En febrero de 2003, una
vulnerabilidad de desbordamiento de búfer se descubrió en Linux y las versiones de Unix
antes de 1.013 que podría permitir a usuarios locales ejecutar código arbitrario con los
privilegios del usuario que ejecuta NOD32. Para activar el desbordamiento de búfer, el
atacante debe esperar (o coaxial) a otro usuario (posiblemente la raíz) para explorar una
ruta de directorio de longitud excesiva.

Dado que la vulnerabilidad es explotable sólo para un usuario con sesión iniciada
localmente en el sistema, el acceso del vector está "Local". El acceso complejidad es "alta"
porque esta vulnerabilidad no se puede aprovechar en el capricho del atacante. Hay una
capa adicional de complejidad debido a que el atacante debe esperar a otro usuario para que
ejecute el software de detección de virus. La autenticación se establece en "None" porque el
atacante no necesita autenticarse en cualquier sistema adicional. Si un usuario
administrativo llegara a ejecutar el análisis de virus, causando el desbordamiento de búfer,
entonces un compromiso de todo el sistema sería posible. Dado el caso más dañino debe ser
considerada, cada uno de los tres indicadores de impacto se ajusta en "Finalizar". En
conjunto, estos indicadores producen una puntuación básica de 6,2.

Por tanto, el vector base para esta vulnerabilidad es: AV: L / AC: H / Au: N / A: C / I: C /
D: C.

Parcial de código que aproveche ha sido puesto en libertad, por lo que la métrica de
explotabilidad se pone a "prueba de concepto". Eset ha lanzado un software actualizado,
dando un nivel de Remediación de "Oficial-Fix", y reporte de la confianza de
"Confirmado". Estos tres parámetros ajustan el puntaje base para dar una puntuación
temporal de 4,9.

Assuming esta confidencialidad, integrity y availability son roughly igualmente importantes

para la de los sistemas de targeted, e depending de los values para posibles daños
colaterales e Distribution investigar, la score environmental podría vary between 0,0
(«None«, «None«) e 7,5 (« alta "," alta "). Los resultados se resumen a continuación.

-------------------------------------------------- - METRIC BASE

SCORE EVALUATION -------------------------------------------- --------
Acceso Vector [Local] (0.395) Acceso Complejidad [Alto] (0.35)
Autenticación [Ninguno] (0.704) Impacto Confidencialidad [Complete]
(0.66) La integridad de impacto [Complete] (0,66) Disponibilidad de
impacto [ Completar] (0.66) ----------
----------------------------------- ------- FORMULA BASE SCORE
---------------------------------------- ------------ Impacto = 10,41 *
(1 - (0,34 * 0,34 * 0,34)) == 10,0 explotabilidad = 20 * 0,35 * 0,704 *
0,395 == 1,9 f (Impacto) = 1,176 = BaseScore ((0,6 * 10) + (0.4 * 1.9)
1.5) * 1.176 == (6.2) -----------------------------
--------------------------------------------------
------------------------- TEMPORAL PUNTUACIÓN EVALUACIÓN MÉTRICO
--------------------- ------------------------------- explotabilidad
[Prueba de concepto] (0.90) Remediación Nivel [Oficial-Fix] ( 0,87)
Informe de confianza [Confirmado] (1.00) ----------
------------------------------ ------------ FORMULA SCORE TEMPORAL
----------------------------------- ----------------- round (6.2 * 0.90 *
0.87 * 1.00) == (4.9) ------------------
--------------------------------------------------
------------------------------------ AMBIENTAL MÉTRICO EVALUACIÓN PUNTAJE
---------- ------------------------------------------ Daño colateral
potencial [Ninguno - alto] {0 - 0.5} Target Distribution [Ninguno - Alto]
{0-1,0} Req Confidencialidad. [Medio] (1.0) Integridad Req. [Medio]
(1.0) Disponibilidad Req. [Medio] (1.0)
-------------------------------------------- -------- FORMULA SCORE
AMBIENTAL --------------------------------------- -------------
AdjustedTemporal == 4,9 EnvScore = round ((4,9 + (10-4,9) * {0-0,5}) *
{0-1}) == (0,00-7,5) -------------------------------------------------- -

4. Recursos adicionales
A continuación, presentamos una lista de recursos que pueden ser útiles a cualquiera
implementar CVSS. Boletines de vulnerabilidad son útiles cuando se busca información
detallada acerca de una vulnerabilidad particular. Calculadoras CVSS son útiles cuando se
trata de calcular su propia base, los resultados temporales o ambientales.

Boletines de vulnerabilidad:

 El Instituto Nacional de Instituto Nacional de Estándares y Tecnología (NIST)

mantiene la Base de Datos Nacional de Vulnerabilidad (NVD), un sitio web de
anuncios vulnerabilidad que incluye partituras de base CVSS. NIST proporciona
estos boletines basados en la web, además de XML alimenta libre para su uso. Se
pueden encontrar en http://nvd.nist.gov/nvd.cfm , y
http://nvd.nist.gov/download.cfm # XML , respectivamente.
 IBM Internet Security Systems (ISS) publica boletines de vulnerabilidades de X-
Force gratis para su uso. Incluyen la base CVSS y puntuaciones temporales y se
pueden encontrar en http://xforce.iss.net/xforce/alerts .
 Qualys publica las referencias de vulnerabilidad que incluyen tanto la base CVSS y
puntuaciones temporales. Estos se pueden encontrar en
http://www.qualys.com/research/alerts/ .
 Boletines de vulnerabilidades de Cisco, incluyendo la base CVSS y puntuaciones
temporales se pueden encontrar en
http://tools.cisco.com/MySDN/Intelligence/home.x . (Nota: se requiere una cuenta
de Cisco Connection Online).
 Tenable Network Security publica plugins para la herramienta de análisis de
vulnerabilidades Nessus. Estos plugins que incluyan puntuación base CVSS se
pueden encontrar en http://www.nessus.org/plugins/ .

Calculadoras CVSS

 La calculadora NIST CVSSv2 se puede encontrar en http://nvd.nist.gov/cvss.cfm?

calculator&adv&version=2
  La Agencia de Promoción de Información Tecnológica de Japón:
http://jvnrss.ise.chuo-u.ac.jp/jtg/cvss/en/CVSSv2.html

5. Consideraciones Finales
Los autores reconocen que muchos otros indicadores podrían haberse incluido en CVSS.
También nos damos cuenta de que hay un sistema de puntuación se encajará a la perfección
las necesidades de todos. Las métricas particulares utilizados en CVSS fueron identificados
como el mejor compromiso entre la exhaustividad, la facilidad de uso y precisión. Ellos
representan la experiencia acumulada de los miembros CVSS Grupo de Interés Especial,
así como numerosas pruebas de vulnerabilidades en el mundo real en entornos de usuario
final. Al madurar CVSS, estas métricas pueden ampliar o ajustar, por lo que el marcador
aún más preciso, flexible y representativo de vulnerabilidades modernas y sus riesgos.