https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=CVSSCVSS - Versionsgeschichte2026-05-25T15:49:28ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=CVSS&diff=2213112&oldid=previmported>Predatorix: Logo eingefügt2024-09-19T15:16:23Z<p>Logo eingefügt</p>
<p><b>Neue Seite</b></p><div>[[File:CVSS 4.0-complete-signature-RGB.svg|mini|CVSS-Logo]]<br />
Das '''Common Vulnerability Scoring System''' ('''CVSS''', deutsch: „Allgemeines Bewertungssystem für Schwachstellen“) ist ein [[Industriestandard]] zur Bewertung des Schweregrades von möglichen oder tatsächlichen [[Sicherheitslücke (Software)|Sicherheitslücken]] in [[Computer]]-Systemen. Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten [[Softwaremetrik|Metriken]] (engl. ''metrics''), bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen.<ref name="faq">{{Webarchiv |url=http://www.first.org/cvss/faq/ |text=Archivlink |wayback=20110308031727}}</ref> Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht uneingeschränkt erreicht, da weiterhin identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden.<ref>{{Literatur |Titel=CVSS rating for Meltdown and Spectre |Datum=2018-01-08 |Online=https://community.isc2.org/t5/Ask-ISC/CVSS-rating-for-Meltdown-and-Spectre/td-p/4955 |Abruf=2018-05-16}}</ref><ref>{{Internetquelle |url=https://www.suse.com/de-de/security/cve/CVE-2017-5753/ |titel=CVE-2017-5753 {{!}} SUSE |abruf=2018-05-16}}</ref><ref>{{Internetquelle |url=https://access.redhat.com/security/cve/cve-2017-5753 |titel=CVE-2017-5753 - Red Hat Customer Portal |sprache=en |abruf=2018-05-16}}</ref><ref>{{Internetquelle |url=https://exchange.xforce.ibmcloud.com/vulnerabilities/137052 |titel=Multiple Intel CPU's information disclosure CVE-2017-5753 Vulnerability Report |abruf=2018-05-16}}</ref><ref>{{Internetquelle |url=https://nvd.nist.gov/vuln/detail/CVE-2017-5753 |titel=NVD - CVE-2017-5753 |abruf=2018-05-16}}</ref><br />
<br />
CVSS wurde 2005 vom ''National Infrastructure Advisory Council'' (NIAC), einer Arbeitsgruppe des US-[[Ministerium für Innere Sicherheit der Vereinigten Staaten|Ministeriums für Innere Sicherheit]], in Auftrag gegeben<ref name="faq" /> und wird derzeit durch das ''Forum of Incident Response and Security Teams'' betreut.<ref name=":0">{{Internetquelle |url=https://www.first.org/cvss/ |titel=Common Vulnerability Scoring System SIG |sprache=en |abruf=2024-07-18}}</ref> Den derzeitigen Vorsitz der Arbeitsgruppe ''CVSS-SIG team'' haben Dave Dugal und Dale Rich.<ref name=":0" /> In die Entwicklung von CVSS sind eingebunden: [[CERT]], [[Cisco]], [[Department of Homeland Security|DHS]]/[[Mitre Corporation|MITRE]], [[eBay]], [[IBM]], [[Microsoft]], Qualys, Symantec.<ref name="faq" /> CVSS wird ferner unterstützt von [[Hewlett-Packard|HP]], [[McAfee]], [[Oracle]], und [[Skype]].<ref>{{Webarchiv |url=http://www.first.org/cvss/eadopters.html |text=Archivlink |wayback=20110325172518}}</ref><br />
<br />
Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht. Mit CVSS v3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metriken die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.<ref>{{Internetquelle |url=https://www.first.org/newsroom/releases/20150610 |titel=FIRST announces availability of new Common Vulnerability Scoring System (CVSS) release |sprache=en |abruf=2024-07-18}}</ref> Im November 2023 wurde die Version 4.0 des Standards publiziert. Neben einer feineren Aufteilung der grundlegenden Metriken führt diese Version auch eine Reihe von "Ergänzungs-Metriken" ein. Diese sollen zuvor nicht berücksichtigte Faktoren in die Schwachstellenbewertung einbeziehen und den Standard erstmals auch auf Schwachstellen in industriellen Anlagen und dem [[Internet der Dinge]] anwendbar machen.<ref>{{Internetquelle |url=https://www.first.org/newsroom/releases/20231101 |titel=FIRST has officially published the latest version of the Common Vulnerability Scoring System (CVSS v4.0) |sprache=en |abruf=2024-07-18}}</ref><br />
<br />
== Siehe auch ==<br />
* [[Common Criteria for Information Technology Security Evaluation]] (IEC, ISO)<br />
* Common Weakness Scoring System (CWSS™, MITRE)<br />
* [[Common Vulnerabilities and Exposures]] (CVE, ITU)<br />
<br />
== Weblinks ==<br />
*[http://www.first.org/cvss the Forum of Incident Response Teams FIRST CVSS site]<br />
*[http://nvd.nist.gov/cvss.cfm National Vulnerability Database NVD CVSS site]<br />
*[http://www.first.org/cvss/eadopters.html A list of early adopters]<br />
*[http://nvd.nist.gov/ All software/hardware vulnerabilities are CVSS scored and can be viewed at the NVD site]<br />
*[http://www.security-database.com/dashboard.php Security-Database vulnerabilities dashboard scored with CVSS and other Open Standards CVE, CPE, CWE, CAPEC, OVAL]<br />
* {{Heise online |ID=5031983 |Titel=Von niedrig bis kritisch: Schwachstellenbewertung mit CVSS |Autor=Andreas Kurtz |Datum=2021-01-25 |Abruf=2021-01-27}}<br />
* [https://www.first.org/cvss/v4.0/specification-document CVSS v4.0]<br />
<br />
== Quellen ==<br />
<references /><br />
<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Abkürzung]]</div>imported>Predatorix