Neue Version des DFN-CERT Portals

13.02.2020

Umstellung auf CVSSv3.1 erfordert Änderungen am JSON-Format

Was ist neu in CVSSv3.1?

Das Bewertungssystem bleibt beim Übergang von CVSSv2.0 zu CVSSv3.1 im Wesentlichen gleich: Schwachstellen erhalten einen Score zwischen 0 und 10. Für die Bewertung der einzelnen Schwachstellen werden aber neue Metriken eingeführt:

  • User Interaction (UI): None (N), Required (R)
    Ist eine Benutzerinteraktion erforderlich, um die Schwachstelle ausnutzen?
  • Privileges Required (PR): None (N), Low (L), High (H) statt Authentication (AU)
    Welche Privilegien benötigt der Angreifer im Kontext der betroffenen Komponente? Hier wird im Wesentlichen zwischen Benutzer- und Administratorrechten unterschieden.
  • Scope (S): Unchanged (U), Changed (C)
    Ist die verwundbare Komponente auch die einzig betroffene Komponente? Wenn bspw. durch eine Schwachstelle in einer Webanwendung Daten aus dem Browser ausgespäht werden können, ist der "Scope: Changed"

Die Metriken zu Vertraulichkeit Confidentiality (C), Integrität Integrity (I) und Verfügbarkeit Availability (A) erhalten jetzt die Werte:

  • None (N),
  • Low (L),
  • High (H).

Als zusätzlicher Angriffsvektor Attack Vector (AV) kann jetzt auch physischer Zugriff angegeben werden:

  • Physical (P).

Weitere Informationen zu CVSS Version 3.1 finden sich bei den Kollegen von FIRST im Common Vulnerability Scoring System v3.1: Specification Document.

Änderungen am JSON-Format

Die vorgestellten Änderungen wirken sich auch auf das JSON-Format aus. Bisher finden sich dort Einträge in der Form:

      "cvss": {
        "vector": "AV:N/AC:M/Au:N/C:P/I:P/A:P/E:POC/RL:OF/RC:C",
        "temporal_score": "5.3",
        "base_score": "6.8",
        "impact_score": "6.4",
        "exploitability_score": "8.6"
      },

zukünftig sehen die Einträge beispielsweise so aus:

      "cvss3": {
        "impact_score": "2.5",
        "vector": "CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L/E:P/RL:O/RC:C",
        "exploitability_score": "2.5",
        "base_score": "5.1",
        "temporal_score": "4.6"
      },

Das JSON-Objekt ist jetzt cvss3 und die Spezifikation sieht vor, dass der Vektor eine numerische Versionsbezeichnung enthält (hier: CVSS:3.1). Die Informationen zu den einzelnen Metriken folgen weiterhin getrennt durch Schrägstriche (/), die Werte der einzelnen Metriken werden auch zukünftig durch Doppelpunkte (:) abgesetzt. Im Spezifikationsdokument findet sich eine Übersicht über zulässige Werte für die einzelnen Metriken.

Erforderlich sind hier lediglich die Angaben zu den Basiswerten Attack Vector (AV), Attack Complexity (AC), Privileges Required (PR), User Interaction (UI), Scope (S), Confidentiality (C), Integrity (I) und Availability (A). Weitere Werte werden mit angegeben, sofern Informationen verfügbar sind. Die Reihenfolge der Metriken im Vektor ist nicht zwingend vorgegeben, wir halten uns aber an die in der Spezifikation vorgeschlagene Reihenfolge. Für die automatische Verarbeitung müssen allerdings Metriken in beliebiger Reihenfolge akzeptiert werden. Hier nicht betrachtete temporäre Metriken und die Umgebung betreffende Metriken erhalten den Wert Not Defined (X), wenn sie nicht explizit angegeben werden.

Im Zuge der Änderungen des JSON-Formats wird eine weitere Korrektur implementiert. Bisher war die Angabe zu version (Angabe zur veröffentlichten Version der Schwachstellenmeldung) im JSON-Dokument ein String:

 "version": "11",

Beginnend mit der Umstellung wird hier ein Integer-Wert verwendet:

 "version": 11,

Dies ist insbesondere beim Vergleich unterschiedlicher Versionen der Schwachstelleninformationen von vor und nach der Umstellung zu berücksichtigen.

Kurze Ausfallzeiten während der Umstellung

Die für den 27.02.2020 geplante Inbetriebnahme der neuen Version 1.4 der DFN-CERT Portal-Software führt zu Ausfallzeiten der betroffenen Dienste:

Kein Zugriff auf das DFN-CERT Portal:

Do, 20.02.2020 17:00 - 19:00 Uhr
Do, 27.02.2020 07:00 - 07:30 Uhr

Kein Versand von Schwachstellenmeldungen:

Mi, 19.02.2020 16:00 Uhr - Do, 20.02.2020 9:00 Uhr

Ab Do, 27.02.2020 9:00 Uhr werden ausschließlich Meldungen im neuen Format basierend auf CVSS-Version 3.1 versendet. Dies betrifft auch ältere Schwachstelleninformationen, die Updates erhalten. Hier wird vor dem Versand jede einzelne Schwachstelle neu nach CVSS v3.1 bewertet.

Alle Artikel