できるCVSS脆弱性のスコアリング システムPrisma Cloudから変更されるCVSSv3.xからCVSSv2.x?

• できるCVSS脆弱性のスコアリング システムPrisma Cloudから変更されるCVSSv3.xからCVSSv2.x?

• Prisma Cloud コンピューティング

• ソフトウェア、hardwareファームウェアの脆弱性は、コンピュータ ネットワークを運用するあらゆる組織に重大なリスクをもたらし、分類して軽減することが困難な場合があります。
• 共通脆弱性スコアリング システム (CVSS ) は、脆弱性の主な特徴を捕捉し、その重大度を反映する数値スコアとそのスコアのテキスト表現を生成する方法を提供します。
• 数値スコアは、組織が脆弱性管理プロセスを適切に評価して優先順位を付けるのに役立つように、定性的な表現 (低、中、高、重大など) に変換できます。CVSS
• CVSS v2.x では、ユーザーは脆弱性の正確な影響についての詳細な知識が過度に必要でした。
• さらに、いくつかの指標に関して苦情がありました。CVSS v2.x では、さまざまな種類の脆弱性を区別するのに十分ではありません。
• の欠点を克服するにはCVSSv2.x、CVSS v3.0 では、実際に遭遇する脆弱性の現実をより正確に反映するスコアリング システムに多くの変更が導入されました。CVSS 3.0 スコアリング システム

• 上記のセキュリティ面を念頭に置き、Prisma Cloudを活用しますCVSSv3.0 スコアリング システム。変更または変更することはできません。
• これに加えて、場合によっては、OSベンダーのCVSSスコアリングと重症度の評価は異なる場合がありますNVDの評価です。
• これは、ベンダーの影響に関する分析に基づいています。CVE彼らに特有のOSディストリビューションは、脆弱性のより正確な見方です。
• Prisma Cloud ベンダーの評価を実行しているワークロードからの結果を報告するときのベンダーの評価を示します。OS 、そして に戻りますNVD該当する場合は の評価。

例

CVE-2021-21692

• これには、CVSS v3.x スコアは 9.8 で、「緊急」と評価されました。NVD :CVE-2021 -21692
• 同じCVE下CVSSv2.x バージョンの基本スコアは 7.5 で、「高」と評価されています。
• ベンダー分析によると、これはCVEとして評価されていますSECURITY-2455: クリティカル」のためPrisma Cloudベンダーの評価に従って、これを「緊急」として報告します。 Jenkins セキュリティ アドバイザリー 2021-11-04

CVE-2021-33574

• これには、CVSS v3.0 スコアは 9.8 で、「緊急」と評価されました。NVD :CVE-2021 -33574
• 同じCVEUbuntu では「低」、さまざまな機関では「中」と評価されます。CVSS Redhat からのスコア。
• Ubuntu を実行しているワークロードの場合、Prisma Cloudではなく、Ubuntu の評価を報告します。NVDの評価です。