- 9,321
- 18
- 8 Ноя 2022
Ошибочное приравнивание критичности угроз вызвало недовольство исследователей.
В прошлом месяце были обнародованы две уязвимости DNSSEC с похожими описаниями и одинаковой оценкой серьёзности. Многие администраторы тогда могли подумать, что это одна и та же проблема, но на самом деле это две абсолютно разные уязвимости. Далее рассмотрим их отличия подробнее.
Одна из уязвимостей, получившая название KeyTrap ( Для просмотра ссылки Войдиили Зарегистрируйся ) и выявленная Национальным исследовательским центром прикладной кибербезопасности Германии (ATHENE), была описана исполнительным директором Akamai Сведом Думмером как «одна из худших, когда-либо обнаруженных», так как её можно было использовать для отключения больших участков Интернета.
Уязвимость позволяет всего одному DNS -пакету прерывать обслуживание, исчерпывая ресурсы ЦП машин, работающих с DNSSEC-проверенными сервисами, такими как те, что предоставляются Google и Cloudflare.
Вторая уязвимость DNSSEC, озаглавленная NSEC3 ( Для просмотра ссылки Войдиили Зарегистрируйся ), была найдена Петром Шпачеком из Internet Systems Consortium (ISC) и также была обозначена как исчерпывающая ресурсы ЦП. Однако, согласно анализу, проведённому командой ATHENE, она оказалась в значительной степени менее опасной.
Обе уязвимости получили оценку серьёзности 7,5 из 10 по системе оценки уязвимостей CVSS от некоммерческой организации безопасности MITRE .
Для просмотра ссылки Войдиили Зарегистрируйся профессор информатики Франкфуртского университета им. Гёте, участвовавшая в исследовании KeyTrap, Для просмотра ссылки Войди или Зарегистрируйся что эти две уязвимости несопоставимы по степени серьёзности. По её словам, эксперименты показывают, что с уязвимостью NSEC3 на практике невозможно провести DoS-атаку путём исчерпания ресурсов ЦП.
Шульман утверждает, что оценка MITRE, которая назначила эти CVE, противоречит процессам, установленным Национальным институтом стандартов и технологий ( NIST ), требующим от аналитиков использовать любую доступную информацию для установления степени серьёзности уязвимости.
Шульман призывает MITRE и другие организации, занимающиеся распространением информации об уязвимостях, быть более точными в своих оценках, даже если это вызовет недовольство поставщиков.
Отсутствие прозрачности и опора на «предпочтительную перспективу» могут не только подорвать доверие между участниками, но и нанести ущерб общей безопасности, добавила Шульман.
После выхода материала NIST прокомментировал, что базовые оценки CVSS основаны на представленных CVE и спецификации CVSSv3, однако эти оценки могут нуждаться в уточнении с учётом контекста, использования, допустимого риска и моделей угроз на локальном уровне.
В прошлом месяце были обнародованы две уязвимости DNSSEC с похожими описаниями и одинаковой оценкой серьёзности. Многие администраторы тогда могли подумать, что это одна и та же проблема, но на самом деле это две абсолютно разные уязвимости. Далее рассмотрим их отличия подробнее.
Одна из уязвимостей, получившая название KeyTrap ( Для просмотра ссылки Войди
Уязвимость позволяет всего одному DNS -пакету прерывать обслуживание, исчерпывая ресурсы ЦП машин, работающих с DNSSEC-проверенными сервисами, такими как те, что предоставляются Google и Cloudflare.
Вторая уязвимость DNSSEC, озаглавленная NSEC3 ( Для просмотра ссылки Войди
Обе уязвимости получили оценку серьёзности 7,5 из 10 по системе оценки уязвимостей CVSS от некоммерческой организации безопасности MITRE .
Для просмотра ссылки Войди
Шульман утверждает, что оценка MITRE, которая назначила эти CVE, противоречит процессам, установленным Национальным институтом стандартов и технологий ( NIST ), требующим от аналитиков использовать любую доступную информацию для установления степени серьёзности уязвимости.
Шульман призывает MITRE и другие организации, занимающиеся распространением информации об уязвимостях, быть более точными в своих оценках, даже если это вызовет недовольство поставщиков.
Отсутствие прозрачности и опора на «предпочтительную перспективу» могут не только подорвать доверие между участниками, но и нанести ущерб общей безопасности, добавила Шульман.
После выхода материала NIST прокомментировал, что базовые оценки CVSS основаны на представленных CVE и спецификации CVSSv3, однако эти оценки могут нуждаться в уточнении с учётом контекста, использования, допустимого риска и моделей угроз на локальном уровне.
- Источник новости
- www.securitylab.ru
