Kann CVSS das Bewertungssystem für Sicherheitslücken Prisma Cloud von CVSS v3.x auf CVSS v2.x geändert werden?

• Kann CVSS das Bewertungssystem für Sicherheitslücken Prisma Cloud von CVSS v3.x auf CVSS v2.x geändert werden?

• Prisma Cloud Berechnen

• hardware Software- und Firmware-Schwachstellen stellen ein kritisches Risiko für jedes Unternehmen dar, das ein Computernetzwerk betreibt, und können schwer zu kategorisieren und zu entschärfen sein.
• Das Common Vulnerability Scoring System (CVSS) bietet eine Möglichkeit, die Hauptmerkmale einer Schwachstelle zu erfassen und eine numerische Bewertung zu erstellen, die ihren Schweregrad widerspiegelt, sowie eine textuelle Darstellung dieser Bewertung.
• Die numerische Punktzahl kann dann in eine qualitative Darstellung (z. B. niedrig, mittel, hoch und kritisch) übersetzt werden, um Unternehmen dabei zu helfen, ihre Schwachstellenmanagementprozesse richtig zu bewerten und zu priorisieren:CVSS
• CVSS v2.x erforderte von den Benutzern zu viele detaillierte Kenntnisse über die genauen Auswirkungen einer Schwachstelle.
• Darüber hinaus gab es Beschwerden darüber, dass mehrere Metriken in CVSS v2.x nicht ausreichten, um zwischen verschiedenen Arten von Schwachstellen zu unterscheiden.
• Um die Unzulänglichkeiten von CVSS v2.x zu beheben, wurden mit v3.0 eine Reihe von Änderungen im Bewertungssystem eingeführt, CVSS die die Realität der in freier Wildbahn aufgetretenen Schwachstellen genauer widerspiegeln: CVSS 3.0 Scoring-System

• Unter Berücksichtigung der oben genannten Sicherheitsaspekte wird das v3.0-Bewertungssystem genutzt, Prisma Cloud das CVSS nicht geändert oder modifiziert werden kann.
• Darüber hinaus können in einigen Fällen die CVSS Bewertung und der Schweregrad des OS Anbieters von NVDder Bewertung abweichen.
• Dies basiert auf der Analyse des Anbieters der Auswirkungen des CVE Spezifischen auf seine OS Distribution, die die genauere Ansicht der Schwachstelle darstellt.
• Prisma Cloud Zeigt die Bewertung des Anbieters an, wenn Ergebnisse von Workloads gemeldet werden, die die OSBewertung des Anbieters ausführen, und greift ggf. auf NVDdie Bewertung des Anbieters zurück.

CVE-2021Beispiele-21692

• Dies hat eine CVSS v3.x-Punktzahl von 9.8 und wird von NVD : CVE-2021-21692 als "Kritisch" bewertet
• CVE Die gleiche Version unter CVSS v2.x hat eine Basispunktzahl von 7,5 und wird als "Hoch" eingestuft.
• Nach der Anbieteranalyse wird dies als ": Kritisch" eingestuft und richtet sich daher Prisma Cloud nach der Bewertung des Anbieters und meldet dies CVE als "SECURITY-2455Kritisch": Jenkins Security Advisory 2021-11-04

CVE-2021-33574

• Dies hat eine CVSS v3.0-Punktzahl von 9.8 und wird von NVD : CVE-2021-33574 als "Kritisch" bewertet
• Das Gleiche CVE wird von Ubuntu als "Niedrig" und von Redhat als "Mittel" CVSS eingestuft.
• Für Workloads, auf denen Ubuntu ausgeführt wird, Prisma Cloud wird die Bewertung von Ubuntu und nicht NVDdie Bewertung von .