Oracle hat sich entschieden, für seine Security Alert Severity Ratings auf CVSS zu wechseln. Das ist nicht unkritisch, da CVSS Servern im Fokus entworfen ist, dies im Gegensatz zum Service-Ansatz, der für Oracles Security Advisories besser geeignet wäre. Mit dem serverbasierten Ansatz kann der Maximalscore nur erreicht werden, wenn der Server als Ganzes kompromittiert ist – bei Oracle höchst unwahrscheinlich, da im Normalfall keine Prozesse unter root laufen, und es deshalb eine Kombination von Exploits bräuchte. Ein Einbruch in die DB ist aber für viele Unternehmen ebenso schwerwiegend wie wenn gleich der Datenbank-Server gehackt ist. Mit CVSS sieht der Manager aber nur ein Rating von 4.2 für den vollen DB-Zugriff anstatt ein Rating von 10 wie beim vollen OS-Zugriff, und ist deshalb versucht, das Problem zu vernachlässigen.
Integrigy schaut im Detail an, wie das zustande kommt: Oracle and CVSS.
Oracle has adopted the Common Vulnerability Scoring System (CVSS) as its standard for communicating the severity of security vulnerabilities in its products. The critics have already jumped on Oracle for "manipulating" the CVSS scores for the October 2006 Critical Patch Update (CPU) (story here). […]
The use of CVSS for rating the severity of security vulnerabilities in Oracle products is far from perfect and the resulting scores must be understood to correctly comprehend the risk associated with the patched vulnerabilities. There are three aspects that need to be considered regarding Oracle’s usage of CVSS – (1) the CVSS standard itself, (2) Oracle’s implementation of CVSS, and (3) customers interpretation of the vulnerability scores.
Trotz allem begrüsse ich es, dass Oracle auch wieder mal einen Industriestandard adaptiert, und hoffe, dass sie in Zukunft im Standards Body von CVSS mitarbeiten, um dem Servicebasierten Bewertungsansatz erfolgreich einbringen zu können, ohne die Einfachheit von CVSS zu verlieren.