脆弱性の危険度(ざっくり) - めもおきばまあCVSSの解説見ろよって話なんだけど、ありがちな脆弱性の危険度は個人的にはこんなイメージです。 総合的な危険度 = 条件 × 影響 条件 脆弱性の攻撃に必要な前提条件が「狭い」のであればそれほど問題ないです。 一番ヤバイ: TCPやUDP、IPによりネットワークから送られた通信で攻撃が成立 Slammer(しかもハンドシェークが不要なUDPのため被害が拡大) Heartbleed Shellshock、GHOST(ただし一部のミドルウェア) だいぶヤバイ: 通信路に割り込まないとイケない(MITM) *1 アクティブに通信に割り込むかどうかで度合いが変わる POODLEとか FREAK そこそこヤバイ: ネットワーク経由での攻撃ができるが、認証後でないと成立しない ヤバイ: ログイン後の一般ユーザーで攻撃が成立 ちょっとヤバイ: 弱い設定をしている場合など限られた条件でのみ攻撃が成立
