Exemple d'application de la norme CVSS
Date : 16 Juin 2005
Cet article est extrait du Bulletin Mensuel du Cert-IST (mai 2005).
Comme indiqué dans l’article du Bulletin Sécurité n°89 de février 2005, le Cert-IST suit attentivement les évolutions de l’initiative "CVSS". Cet article prend un exemple concret d’application de la norme "CVSS" à une vulnérabilité récente ayant impacté le navigateur Firefox/Mozilla.
Pour rappel, la norme CVSS définit 12 métriques, qui produisent (au moyen d'une formule de calcul) 3 scores :
- Le "score de base" ("base score") décrit l'impact maximum théorique d'une faille.
- Ce score est ensuite pondéré pour produire un "score temporel" ("temporal score"). Ce second score prend en compte la "vie" de la vulnérabilité dans le temps (par exemple, l'existence d'un programme d’exploitation ou d'un correctif) pour l'atténuer ou la renforcer.
- Enfin, ce score est à nouveau pondéré pour produire le "score environnemental" ("environmental score") qui prend en compte le fait que le composant touché est critique ou non dans un SI donné.
Pour notre exemple, nous étudierons simplement les deux premiers scores, car le dernier est lié à une organisation (un environnement donné) et n'a pas, de toute façon, d'impact sur l'exemple que nous prenons.
Voyons maintenant l'évolution dans le temps des scores CVSS pour la faille Firefox que nous prenons en exemple.
Le 9 mai 2005, une vulnérabilité a été identifiée dans le navigateur web Firefox 1.0.3. Elle peut permettre à un site malicieux d'exécuter des commandes arbitraires sur le poste de la victime qui visite le site web avec une version vulnérable de Firefox. Un programme d'exploitation a été diffusé pour cette faille (le Cert-ist a alors publié un message dans la liste de diffusion "Vuln-coord" consacré à cette vulnérabilité non corrigée).
L’application des paramètres de complexité et d’impact de la métrique "CVSS" à ce problème donne une note de base de 5,6 (score de base). L’application des critères concernant la disponibilité et l’impact des parades ramène le critère temporel à 5,3 (score temporel). Le détail de la notation est présenté dans le tableau ci-dessous.
Le 10 mai 2005, la fondation Mozilla propose une solution temporaire pour cette vulnérabilité (avis de sécurité CERT-IST/AV-2005.173 v1.0). L’application de la métrique "CVSS" à ce problème donne alors une note de 5,1 (score temporel).
Le 13 mai 2005, des correctifs sont publiés pour les navigateurs Firefox/Mozilla (avis de sécurité CERT-IST/AV-2005.173 v2.0). L’application de la métrique "CVSS" à ce problème donne une note de 4,6 (score temporel).
|
|
Vulnérabilité 09/05/2005 |
Vulnérabilité 10/05/2005 |
Vulnérabilité 13/05/2005 |
| Vulnerability Details |
Message posté dans “Vuln-Coord“ |
CERT-IST/AV-2005.173 v1.0 |
CERT-IST/AV-2005.173 v2.0 |
|
Access Vector |
REMOTE |
REMOTE |
REMOTE |
|
Access Complexity |
HIGH |
HIGH |
HIGH |
|
Authentication |
NOT-REQUIRED |
NOT-REQUIRED |
NOT-REQUIRED |
|
Confidentiality Impact |
PARTIAL |
PARTIAL |
PARTIAL |
|
Integrity Impact |
PARTIAL |
PARTIAL |
PARTIAL |
|
Availability Impact |
PARTIAL |
PARTIAL |
PARTIAL |
|
Impact Bias |
NORMAL |
NORMAL |
NORMAL |
| BASE SCORE |
5,6 |
5,6 |
5,6 |
|
Exploitability |
FUNCTIONAL |
FUNCTIONAL |
FUNCTIONAL |
|
Remediation Level |
UNAVAILABLE |
WORKAROUND |
OFFICIAL-FIX |
|
Report Confidence |
CORROBORATED |
CONFIRMED |
CONFIRMED |
|
TEMPORAL SCORE |
5,3 |
5,1 |
4,6 |
Cet exemple permet de visualiser en quoi consistera l’application de la norme "CVSS", ainsi que les changements du "scoring CVSS" suivant l’évolution d’une vulnérabilité dans le temps.
Suite à la publication par ZDnet d'un article introduisant CVSS, nous avons ajouté au présent article un second exemple d'application. Il s'agit cette fois de la faille "IDN" qui affecte les navigateurs Firefox Mozilla et Netscape :
Le 9 septembre 2005, une vulnérabilité a été découverte dans les navigateurs web Firefox, Mozilla et Netscape (vulnérabilité CAN-2005-2871, décrite dans l'avis de sécurité CERT-IST/AV-2005.338). Elle est due à un débordement de mémoire dans la gestion des URLs de type IDN ("Internationalized Domain Names"). Un programme de démonstration (provoquant un arrêt brutal du navigateur) a été diffusé sur Internet.
Le score de base CVSS pour cette vulnérabilité est cette fois encore de 5,6. Le score temporel est lui à 5,0.
Le même jour, la fondation "Mozilla.org" confirme le problème et propose un palliatif (désactivation du support IDN) pour protéger les navigateur en attendant un correctif définif. Le score temporel CVSS passe à 4,8.
Le 20 septembre 2005, "Mozilla.org" corrige la faille en proposant de nouvelles versions de ses navigateurs Firefox (1.0.7) et Mozilla (1.7.12). Le score temporel CVSS est désormais de 4,4.
|
|
Vulnérabilité 09/09/2005 |
Vulnérabilité 09/09/2005 |
Vulnérabilité 20/09/2005 |
| Vulnerability Details |
Message posté dans “Vuln-Coord“ |
CERT-IST/AV-2005.338 v1.0 |
CERT-IST/AV-2005.338 v2.0 |
|
Access Vector |
REMOTE |
REMOTE |
REMOTE |
|
Access Complexity |
HIGH |
HIGH |
HIGH |
|
Authentication |
NOT-REQUIRED |
NOT-REQUIRED |
NOT-REQUIRED |
|
Confidentiality Impact |
PARTIAL |
PARTIAL |
PARTIAL |
|
Integrity Impact |
PARTIAL |
PARTIAL |
PARTIAL |
|
Availability Impact |
PARTIAL |
PARTIAL |
PARTIAL |
|
Impact Bias |
AVAILABILITY |
AVAILABILITY |
AVAILABILITY |
| BASE SCORE |
5,6 |
5,6 |
5,6 |
|
Exploitability |
PROOF-OF-CONCEPT |
PROOF-OF-CONCEPT |
PROOF-OF-CONCEPT |
|
Remediation Level |
UNAVAILABLE |
WORKAROUND |
OFFICIAL-FIX |
|
Report Confidence |
CORROBORATED |
CONFIRMED |
CONFIRMED |
|
TEMPORAL SCORE |
5,0 |
4,8 |
4,4 |
Le Cert-IST continue de suivre avec attention les évolutions de ce projet afin d’inclure le "scoring CVSS" dans ses avis de sécurité dès que les éditeurs et le FIRST commenceront à l’utiliser.
Pour plus d’information :
- Avis Cert-IST : https://wws.cert-ist.com/fast-cgi/Details.cgi?lang=0&action=1&format=3&ref=CERT-IST/AV-2005.173
- Outil permettant de calculer la note "CVSS" : http://www.patchadvisor.com/PatchAdvisor/CVSSCalculator.aspx
