Auskunft über CVE Bewertungsgrundlage

Anfrage an: Bundesamt für Sicherheit in der Informationstechnik

Im Sinne einer korrekten Einordnung zu veröffentlichten CVE Einträgen auf Basis einer vom BSI vorgenommen Überprüfung der Software ILIAS, bitte ich um die Zusendung von Informationen über die CVSS 3.1 Bewertungsgrundlage der veröffentlichten Einträge CVE-2023-36485 und CVE-2023-36486.

Im Detail erfrage ich hiermit wie die CVSS Metrik PR:L zu begründen ist. Diese Information wäre für die Öffentlichkeit wichtig, um den Impact der Schwachstelle korrekt einordnen zu können.

Die aktuelle Angabe kann technisch nicht nachvollzogen werden, da die in ILIAS betreffende vulnerable Komponente und damit die Sicherheitslücke per default nur mit der ist Rolle "Administrator" ausnutzbar ist.

Anfrage erfolgreich

Datum

25. Januar 2024
Frist

27. Februar 2024
0 Follower:innen

Erhalten Sie Benachrichtigungen per E-Mail

Sie erhalten per E-Mail Benachrichtigungen, sobald etwas bei dieser Anfrage passiert. Sie können die Benachrichtigungen jederzeit abbestellen.

Wenn Sie etwas hier eingeben, dann wird die Aktion nicht durchgeführt.

Was ist drei plus vier?

Bitte beantworten Sie diese Frage, um einen Beleg zu liefern, dass Sie ein Mensch sind.

Ihre E-Mail-Adresse

Newsletter

Ja, ich möchte den Newsletter zum Thema Informationsfreiheit erhalten!
Nein, ich möchte keinen Newsletter.
Anfrage teilen

Twitter Mastodon

Auf Mastodon teilen

Bitte geben Sie die Domain Ihrer Mastodon-Instanz ein.

https://

Kurzlink kopieren
RSS-Feed

Korrespondenz 3

Alle einklappen Alle ausklappen Zum Ende

<< Anfragesteller:in >>

am 25. Jan.

Antrag nach dem IFG/UIG/VIG Guten Tag, bitte senden Sie mir Folgendes zu: Im Sinne einer korrekten Einordnung z…

An Bundesamt für Sicherheit in der Informationstechnik Details

Von: << Anfragesteller:in >>
Betreff: Auskunft über CVE Bewertungsgrundlage [#298298]
Datum: 25. Januar 2024 19:01
An: Bundesamt für Sicherheit in der Informationstechnik
Status: Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem IFG/UIG/VIG Guten Tag, bitte senden Sie mir Folgendes zu:

Im Sinne einer korrekten Einordnung zu veröffentlichten CVE Einträgen auf Basis einer vom BSI vorgenommen Überprüfung der Software ILIAS, bitte ich um die Zusendung von Informationen über die CVSS 3.1 Bewertungsgrundlage der veröffentlichten Einträge CVE-2023-36485 und CVE-2023-36486. 

Im Detail erfrage ich hiermit wie die CVSS Metrik PR:L zu begründen ist. Diese Information wäre für die Öffentlichkeit wichtig, um den Impact der Schwachstelle korrekt einordnen zu können.

Die aktuelle Angabe kann technisch nicht nachvollzogen werden, da die in ILIAS betreffende vulnerable Komponente und damit die Sicherheitslücke per default nur mit der ist Rolle "Administrator" ausnutzbar ist.

Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfsweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 298298 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/298298/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >>

[… Zeige kompletten Anfragetext] Mit freundlichen Grüßen << Anfragesteller:in >>

Noch keine Kommentare. Please login to write a comment.

Bundesamt für Sicherheit in der Informationstechnik

am 13. Feb.

Sehr << Antragsteller:in >> anbei übersende ich Ihnen meinen Bescheid zu Ihrer untenstehenden Anfrage…

Details

Von: Bundesamt für Sicherheit in der Informationstechnik
Betreff: AW: Bescheid zur Ihrer IFG-Anfrage zu Auskunft über CVE Bewertungsgrundlage [#298298]
Datum: 13. Februar 2024 10:13
Status: Anfrage abgeschlossen

20240213-bescheid-cve-bewertungsgrundlage_geschwaerzt.pdf

geschwärzt

717,2 KB

Sehr << Antragsteller:in >> anbei übersende ich Ihnen meinen Bescheid zu Ihrer untenstehenden Anfrage nach dem Informationsfreiheitsgesetz (IFG). Mit freundlichen Grüßen

Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>

am 14. Feb.

Guten Tag, Vielen Dank für die Antwort! Ich habe die Information entsprechend dem NIST weitergetragen. Diese hab…

An Bundesamt für Sicherheit in der Informationstechnik Details

Von: << Anfragesteller:in >>
Betreff: AW: Bescheid zur Ihrer IFG-Anfrage zu Auskunft über CVE Bewertungsgrundlage [#298298]
Datum: 14. Februar 2024 15:31
An: Bundesamt für Sicherheit in der Informationstechnik
Status: E-Mail wurde erfolgreich versendet.

Guten Tag, Vielen Dank für die Antwort! Ich habe die Information entsprechend dem NIST weitergetragen. Diese haben die Anpassung (PR:H) entsprechend in der Datenbank vorgenommen, sind aber der Auffassung, dass bei einer Remote Code Execution die Metrik "Availability" hoch sein müsste (A:H). Ich komme zum selben Schluss. Falls das BSI dennoch nachträglich eine Begründung für die Metrik A:L geben möchte, würde ich das zur Vollständigkeit ergänzen lassen. Ansonsten bleibt die offizielle Bewertung der CVE bei "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H". ---- Good morning, We have reviewed the documentation provided, which corroborates administrative privileges are needed therefore we have aligned with PR:H. However, for CVE-2023-36485 and CVE-2023-36486 it states remote code execution is possible which makes it unclear on the limitations for availability impact. If could please provide additional publicly available information to support Availability: Low, so we can make the proper modifications. V/r, Monica National Vulnerability Database Team National Institute of Standards and Technology (NIST) <<E-Mail-Adresse>> ---- Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 298298 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/298298/

Zeige die zitierte Nachricht an

-- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/

Noch keine Kommentare. Please login to write a comment.

Zum Ende