Newsflash
Issue 2 - Januar 2008
Änderungen beim Scoring von Schwachstellen / CVSS-Bewertung
Das PCI Council führt zum 1. März 2008 Änderungen
hinsichtlich der Bewertungsregeln für Schwachstellen ein. Wir als Approved
Scan Vendors sind verpflichtet die neuen Bewertungsmaßstäbe für
Schwachstellen umzustellen und zukünftig anzuwenden. Aus diesem Grund
stellt die Acertigo AG zum 1. März 2008 die Bewertung der Schwachstellen
in den regelmäßigen Scans um. Anstelle der bisher verwendeten 5-stufigen
Bewertung wird von nun an der sog. Base Score des Common Vulnerability
Scoring System [CVSS,
http://www.first.org/cvss] als Kriterium verwendet.Ein Scan gilt
nun als bestanden, wenn keine Schwachstellen mit einem CVSS Base Wert
größer oder gleich 4.0 auf dem System besteht. Ausnahmen hiervon sind
nach wie vor die folgenden Schwachstellen:
- Einsatz einer Version von SSL die älter oder gleich 2.0 ist,
ohne Unterstützung von v3.0
- Denial of Service Schwachstellen werden bei der
Komponentenprüfung nicht betrachtet
- für PCI DSS nicht relevante Schwachstellen werden zukünftig
nicht mehr betrachtet
- Anwendungsschwachstellen wie z.B. Cross-Site-Scripting oder SQL
Injection führen ebenfalls zum Nichtbestehen des Tests
Da eine Reihe von Schwachstellen, welche bisher in Level 1 oder 2
eingestuft wurde und damit nicht compliance-schädlich waren über einen
CVSS Base Score größer als 4 verfügen, kann es sein, dass im nächsten
Scan mehr Schwachstellen bemängelt werden als bisher.
Die bisher gewohnte fünfstufige Einteilung werden wir grundsätzlich
beibehalten, allerdings wird die Einteilung aufgrund des CVSS Wertes
vorgenommen. Die Kategorien werden so erstellt, dass wie gewohnt
Schwachstellen der Ebenen 3, 4 und 5 behoben werden müssen. |
 |
