CVSS(Common Vulnerability Scoring System)は、脆弱性そのものの特性を評価する基本評価基準、脆弱性の現在の深刻度を評価する現状評価基準、ユーザーの利用環境も含め、最終的な脆弱性の深刻度を評価する環境評価基準から脆弱性を評価する手法です。今回は、CVSS v3の現状評価基準について紹介します。
現状評価基準は、攻撃コードや攻撃手法による攻撃の可能性(E:Exploit Code Maturity)、利用可能な対策のレベル(RL:Remediation Level)、脆弱性情報の信頼性(RC:Report Confidence)という基準で評価します。評価項目をみても、現状評価値の算出の流れを見ても、基本評価基準のCVSS v2とv3の差分(図1の青文字部分)を除けば、大きな変更はありません。
図1●CVSS v3における現状評価値の算出の流れ
ここからは、7月5日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米シスコCisco Unified Communicationsドメインマネジャ(2015/07/01)
Cisco Unified Communicationsドメインマネジャの管理者アカウントにはデフォルトパスワードが設定されている脆弱性(CVE-2015-4196)が存在します。SSH経由での不正なログインに悪用される可能性があります。
