理解RedHat的漏洞评分和NVD的差异

本文最后更新于2017年7月15日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

NVD和RedHat对 CVE-2017-8890 漏洞的评分差异:

NVD给出的 Base Score 为 9.8, Vector String 为:
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (legend)

RedHat给出的 Base Score 为 5.5, Vector String 为:
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

正文:

参考解答:

「RedHat产品风险评分」和「常见的漏洞评分系统(CVSS)」的基础得分提供了一个优先级风险评估,以帮助您了解和安排系统升级,使您能够根据您的独特环境对每个问题的风险作出明智的决策。

SEVERITY RATING
DESCRIPTION
CRITICAL IMPACT

(严重)

这一评级是由远程未经身份验证的攻击者容易利用的缺陷引起的,可导致系统在不需要用户交互的情况下被攻陷(任意代码执行)。这些是可以被蠕虫利用的漏洞类型。需要身份验证的远程用户,本地用户或不太可能的配置的缺陷不会被归类为严重影响。
IMPORTANT IMPACT

(高危)

这一评级是给那些可以轻易危及资源的机密性,完整性或可用性的漏洞的。这些漏洞主要有:允许本地用户提升权限的漏洞允许未经身份验证的远程用户查看本应由身份验证保护的资源允许经过身份验证的远程用户执行任意代码,或允许远程用户导致拒绝服务
MODERATE IMPACT

(中危)

这一评级是给那些利用条件比较苛刻,但一旦利用成功则可能导致对资源的机密性,完整性或可用性受到危害的漏洞。这些是可能受到重大影响或重要影响但不太易于利用的漏洞的类型,基于对缺陷的技术评估,或影响不太可能的配置。
LOW IMPACT

(低危)

这一评级可用于所有其他有安全影响的问题。这些是被认为不太可能被利用的漏洞,或者即便被成功利用影响也很小的漏洞

CVSS标准提供的信息非常有用,但是Red Hat并不仅仅使用CVSS给定的级别来确定哪些缺陷/漏洞需要优先修复。CVSS被作为指导原则用于确定缺陷/漏洞的关键指标,但是漏洞修复的优先级别是由上面提到的缺陷/漏洞产生的整体影响决定的。

CVSS v3 Base Metrics
#CVSS v3基础度量指标
  • Attack Vector (AV) – Expresses the “remoteness” of the attack and how the vulnerability is exploited.
  • Attack Complexity (AC) – Speaks to how hard the attack is to execute and what factors are needed for it to be successful. (The older Access Complexity metric is now split into Attack Complexity and User Interaction.).
  • User Interaction (UI) – Determines whether the attack require an active human to participate or if the attack can be automated.
  • Privileges Required (PR) – Documents the level of user authentication required for attack to be successful (replaces older Authentication metric).
  • Scope (S) – Determines whether an attacker can affect a component that has a different level of authority.
  • Confidentiality (C) – Determines whether data can be disclosed to non-authorized parties and, if so, to what level.
  • Integrity (I) – This measures how trustworthy the data is and how far it can be trusted to not be modified by unauthorized users.
  • Availability (A) – This metric is concerned with data or services being accessible to authorized users when they need to access it.
How Red Hat Uses CVSS v3 Base Metrics
#RedHat是如何使用CVSSv3的基础度量指标的
  • LIBRARIES
  • WEB BROWSERS (AND ASSOCIATED PLUG-INS)
  • OTHER COMMON SCORES
Base Score Variations Across Products
#产品的基础得分差异

……略……

Differences Between NVD and Red Hat Scores
#NVD和RedHat在评分上的差异

对于由多个供应商提供的开放源码软件,CVSS的基础分数可能因每个供应商的版本而不同,这取决于他们所发布的版本、他们如何发布、平台,甚至是软件是如何编译的。这使得第三方漏洞数据库对漏洞的评分变得困难,比如NVD,它只能给每个漏洞提供一个单一的CVSS基础得分。

这些差异会导致(不同机构给出的CVSS评分)分数差异很大。例如,NVD认为Firefox的漏洞具有很高的影响指标,因为Firefox应用程序也适用于Microsoft Windows系统,在那里,用户使用管理员权限运行Firefox是很常见的。但对于Red Hat Enterprise Linux,我们认为影响度量是Low,因为(在我们的系统上)Firefox很可能是以一个没有特权的用户身份运行的。

基于这些原因,我们建议,只要有可能,您就可以使用由Red Hat提供的CVSS基础分数,而不是从第三方获得的分数。如果您认为我们给一个特殊的漏洞提供了错误的CVSS v3基础分数,请告诉我们。我们很高兴讨论问题的严重性,并在需要的情况下进行更新。

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3370.html

《理解RedHat的漏洞评分和NVD的差异》上有3条评论

  1. 【技术分享】威胁情报之CVE(通用漏洞披露)监控
    https://paper.tuisec.win/detail/6def410b47321f1
    https://mp.weixin.qq.com/s/cbt1Y-mEo91LGBHgwd4rOw

    一、CVE 数据源
    对于CVE数据的拉取来源,主要有如下两种方式,第一种是监控账号@CVEnew的推文(Tweets),另一种是文件(JSON, XML各种格式)使用以下网址进行下载:
    https://nvd.nist.gov/vuln/data-feeds
    感兴趣可参见如下网站:
    https://cve.mitre.org/cve/data_feeds.html

    二、编写python脚本获取数据
    2.1 申请Twitter开发者权限
    2.2 学习API文档
    2.3 借助tweepy包,调用推特API

    三、开启监控

    四、一点思考
    4.1 CVEnew账号的推文是CVE漏洞的状态变更,有兴趣的小伙伴可以结合以下网址的数据
    https://nvd.nist.gov/vuln/data-feeds
    4.2 CVE数据加上企业使用的各种软硬固件信息,才能产生精准的情报信息

  2. CVE 和 NVD 的关系 (CVE and NVD Relationship)
    https://cve.mitre.org/about/cve_and_nvd_relationship.html

    首先,CVE 和 NVD 是两个独立的项目!
    CVE 这个项目是由 MITRE 在1999年作为社区项目发起的;
    NVD 是由 NIST 在2005年发起的。

    CVE——是一个包含一个识别号码、一个描述和至少一个公共引用的网络安全漏洞列表。CVE数据被来自世界各地的许多网络安全产品和服务所使用,包括NVD。
    NVD——是一个建立在CVE列表上并与之完全同步的漏洞数据库,任何对CVE的更新都会立即出现在NVD中。

    CVE和NVD的关系——CVE为NVD提供信息,然后,NVD根据CVE条目中包含的信息为每个条目提供增强信息,如修复信息、严重程度评分和影响评级。作为其增强信息的一部分,NVD还提供了高级搜索功能,如通过操作系统,按供应商名称、产品名称和/或版本号,并按漏洞类型、严重程度、相关漏洞利用范围、影响程度进行排序。

    CVE和NVD虽然是独立的,但都是由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)赞助的,公众可以免费使用。

发表评论

电子邮件地址不会被公开。 必填项已用*标注