Exemple d'application de la norme CVSS

Date : 16 Juin 2005

Cet article est extrait du Bulletin Mensuel du Cert-IST (mai 2005).


Comme indiqué dans l’article du Bulletin Sécurité n°89 de février 2005, le Cert-IST suit attentivement les évolutions de l’initiative "CVSS". Cet article prend un exemple concret d’application de la norme "CVSS" à une vulnérabilité récente ayant impacté le navigateur Firefox/Mozilla.

Pour rappel, la norme CVSS définit 12 métriques, qui produisent (au moyen d'une formule de calcul) 3 scores : 

  • Le "score de base" ("base score") décrit l'impact maximum théorique d'une faille.

  • Ce score est ensuite pondéré pour produire un "score temporel" ("temporal score"). Ce second score prend en compte  la "vie" de la vulnérabilité dans le temps (par exemple, l'existence d'un programme d’exploitation ou d'un correctif) pour l'atténuer ou la renforcer.

  • Enfin, ce score est à nouveau pondéré pour produire le "score environnemental" ("environmental score") qui prend en compte le fait que le composant touché est critique ou non dans un SI donné.

Pour notre exemple, nous étudierons simplement les deux premiers scores, car le dernier est lié à une organisation (un environnement donné) et n'a pas, de toute façon, d'impact sur l'exemple que nous prenons.

 

Voyons maintenant l'évolution dans le temps des scores CVSS pour la faille Firefox que nous prenons en exemple.

Le 9 mai 2005, une vulnérabilité a été identifiée dans le navigateur web Firefox 1.0.3. Elle peut permettre à un site malicieux d'exécuter des commandes arbitraires sur le  poste de la victime qui visite le site web avec une version vulnérable de Firefox. Un programme d'exploitation a été diffusé pour cette faille (le Cert-ist a alors publié un message dans la liste de diffusion "Vuln-coord" consacré à cette vulnérabilité non corrigée).

L’application des paramètres de complexité et d’impact de la métrique "CVSS" à ce problème donne une note de base de 5,6 (score de base). L’application des critères concernant la disponibilité et l’impact des parades ramène le critère temporel à 5,3 (score temporel). Le détail de la notation est présenté dans le tableau ci-dessous. 

Le 10 mai 2005, la fondation Mozilla propose une solution temporaire pour cette vulnérabilité (avis de sécurité CERT-IST/AV-2005.173 v1.0). L’application de la métrique "CVSS" à ce problème donne alors une note de 5,1 (score temporel). 

Le 13 mai 2005, des correctifs sont publiés pour les navigateurs Firefox/Mozilla (avis de sécurité CERT-IST/AV-2005.173 v2.0). L’application de la métrique "CVSS" à ce problème donne une note de 4,6 (score temporel).

 

 

Vulnérabilité 09/05/2005

Vulnérabilité 10/05/2005

Vulnérabilité 13/05/2005

Vulnerability Details

Message posté dans “Vuln-Coord“

CERT-IST/AV-2005.173 v1.0

CERT-IST/AV-2005.173 v2.0

Access Vector

REMOTE

REMOTE

REMOTE

Access Complexity

HIGH

HIGH

HIGH

Authentication

NOT-REQUIRED

NOT-REQUIRED

NOT-REQUIRED

Confidentiality Impact

PARTIAL

PARTIAL

PARTIAL

Integrity Impact

PARTIAL

PARTIAL

PARTIAL

Availability Impact

PARTIAL

PARTIAL

PARTIAL

Impact Bias

NORMAL

NORMAL

NORMAL

BASE SCORE

5,6

5,6

5,6

Exploitability

FUNCTIONAL

FUNCTIONAL

FUNCTIONAL

Remediation Level

UNAVAILABLE

WORKAROUND

OFFICIAL-FIX

Report Confidence

CORROBORATED

CONFIRMED

CONFIRMED

TEMPORAL SCORE

5,3

5,1

4,6

 

Cet exemple permet de visualiser en quoi consistera l’application de la norme "CVSS", ainsi que les changements du "scoring CVSS" suivant l’évolution d’une vulnérabilité dans le temps.


Suite à la publication par ZDnet d'un article introduisant CVSS, nous avons ajouté au présent article un second exemple d'application. Il s'agit cette fois de la faille "IDN" qui affecte les navigateurs Firefox Mozilla et Netscape :


Le 9 septembre 2005, une vulnérabilité a été découverte dans les navigateurs web Firefox, Mozilla et Netscape (vulnérabilité CAN-2005-2871, décrite dans l'avis de sécurité   CERT-IST/AV-2005.338). Elle est due à un débordement de mémoire dans la gestion des URLs de type IDN ("Internationalized Domain Names"). Un programme de démonstration (provoquant un arrêt brutal du navigateur) a été diffusé sur Internet.
Le score de base CVSS pour cette vulnérabilité est cette fois encore de 5,6. Le score temporel est lui à 5,0.

Le même jour, la fondation "Mozilla.org" confirme le problème et propose un palliatif (désactivation du support IDN) pour protéger les navigateur en attendant un correctif définif. Le score temporel CVSS passe à 4,8.

Le 20 septembre 2005, "Mozilla.org" corrige la faille en proposant de nouvelles versions de ses navigateurs Firefox (1.0.7) et Mozilla (1.7.12). Le score temporel CVSS est désormais de  4,4.


 

Vulnérabilité 09/09/2005

Vulnérabilité 09/09/2005

Vulnérabilité 20/09/2005

Vulnerability Details

Message posté dans “Vuln-Coord“

CERT-IST/AV-2005.338 v1.0

CERT-IST/AV-2005.338 v2.0

Access Vector

REMOTE

REMOTE

REMOTE

Access Complexity

HIGH

HIGH

HIGH

Authentication

NOT-REQUIRED

NOT-REQUIRED

NOT-REQUIRED

Confidentiality Impact

PARTIAL

PARTIAL

PARTIAL

Integrity Impact

PARTIAL

PARTIAL

PARTIAL

Availability Impact

PARTIAL

PARTIAL

PARTIAL

Impact Bias

AVAILABILITY

AVAILABILITY

AVAILABILITY

BASE SCORE

5,6

5,6

5,6

Exploitability

PROOF-OF-CONCEPT

PROOF-OF-CONCEPT

PROOF-OF-CONCEPT

Remediation Level

UNAVAILABLE

WORKAROUND

OFFICIAL-FIX

Report Confidence

CORROBORATED

CONFIRMED

CONFIRMED

TEMPORAL SCORE

5,0

4,8

4,4

Le Cert-IST continue de suivre avec attention les évolutions de ce projet afin d’inclure le "scoring CVSS" dans ses avis de sécurité dès que les éditeurs et le FIRST commenceront à l’utiliser. 

 

Pour plus d’information : 

Précedent Précedent Suivant Suivant Imprimer Imprimer