理解RedHat的漏洞评分和NVD的差异


=Start=

缘由:

NVD和RedHat对 CVE-2017-8890 漏洞的评分差异:

NVD给出的 Base Score 为 9.8, Vector String 为:
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (legend)

RedHat给出的 Base Score 为 5.5, Vector String 为:
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

正文:

参考解答:

「RedHat产品风险评分」和「常见的漏洞评分系统(CVSS)」的基础得分提供了一个优先级风险评估,以帮助您了解和安排系统升级,使您能够根据您的独特环境对每个问题的风险作出明智的决策。

SEVERITY RATING
DESCRIPTION
CRITICAL IMPACT

(严重)

这一评级是由远程未经身份验证的攻击者容易利用的缺陷引起的,可导致系统在不需要用户交互的情况下被攻陷(任意代码执行)。这些是可以被蠕虫利用的漏洞类型。需要身份验证的远程用户,本地用户或不太可能的配置的缺陷不会被归类为严重影响。
IMPORTANT IMPACT

(高危)

这一评级是给那些可以轻易危及资源的机密性,完整性或可用性的漏洞的。这些漏洞主要有:允许本地用户提升权限的漏洞允许未经身份验证的远程用户查看本应由身份验证保护的资源允许经过身份验证的远程用户执行任意代码,或允许远程用户导致拒绝服务
MODERATE IMPACT

(中危)

这一评级是给那些利用条件比较苛刻,但一旦利用成功则可能导致对资源的机密性,完整性或可用性受到危害的漏洞。这些是可能受到重大影响或重要影响但不太易于利用的漏洞的类型,基于对缺陷的技术评估,或影响不太可能的配置。
LOW IMPACT

(低危)

这一评级可用于所有其他有安全影响的问题。这些是被认为不太可能被利用的漏洞,或者即便被成功利用影响也很小的漏洞

CVSS标准提供的信息非常有用,但是Red Hat并不仅仅使用CVSS给定的级别来确定哪些缺陷/漏洞需要优先修复。CVSS被作为指导原则用于确定缺陷/漏洞的关键指标,但是漏洞修复的优先级别是由上面提到的缺陷/漏洞产生的整体影响决定的。

CVSS v3 Base Metrics
#CVSS v3基础度量指标
  • Attack Vector (AV) – Expresses the “remoteness” of the attack and how the vulnerability is exploited.
  • Attack Complexity (AC) – Speaks to how hard the attack is to execute and what factors are needed for it to be successful. (The older Access Complexity metric is now split into Attack Complexity and User Interaction.).
  • User Interaction (UI) – Determines whether the attack require an active human to participate or if the attack can be automated.
  • Privileges Required (PR) – Documents the level of user authentication required for attack to be successful (replaces older Authentication metric).
  • Scope (S) – Determines whether an attacker can affect a component that has a different level of authority.
  • Confidentiality (C) – Determines whether data can be disclosed to non-authorized parties and, if so, to what level.
  • Integrity (I) – This measures how trustworthy the data is and how far it can be trusted to not be modified by unauthorized users.
  • Availability (A) – This metric is concerned with data or services being accessible to authorized users when they need to access it.
How Red Hat Uses CVSS v3 Base Metrics
#RedHat是如何使用CVSSv3的基础度量指标的
  • LIBRARIES
  • WEB BROWSERS (AND ASSOCIATED PLUG-INS)
  • OTHER COMMON SCORES
Base Score Variations Across Products
#产品的基础得分差异

……略……

Differences Between NVD and Red Hat Scores
#NVD和RedHat在评分上的差异

对于由多个供应商提供的开放源码软件,CVSS的基础分数可能因每个供应商的版本而不同,这取决于他们所发布的版本、他们如何发布、平台,甚至是软件是如何编译的。这使得第三方漏洞数据库对漏洞的评分变得困难,比如NVD,它只能给每个漏洞提供一个单一的CVSS基础得分。

这些差异会导致(不同机构给出的CVSS评分)分数差异很大。例如,NVD认为Firefox的漏洞具有很高的影响指标,因为Firefox应用程序也适用于Microsoft Windows系统,在那里,用户使用管理员权限运行Firefox是很常见的。但对于Red Hat Enterprise Linux,我们认为影响度量是Low,因为(在我们的系统上)Firefox很可能是以一个没有特权的用户身份运行的。

基于这些原因,我们建议,只要有可能,您就可以使用由Red Hat提供的CVSS基础分数,而不是从第三方获得的分数。如果您认为我们给一个特殊的漏洞提供了错误的CVSS v3基础分数,请告诉我们。我们很高兴讨论问题的严重性,并在需要的情况下进行更新。

参考链接:

=END=

, ,

《“理解RedHat的漏洞评分和NVD的差异”》 有 5 条评论

  1. 【技术分享】威胁情报之CVE(通用漏洞披露)监控
    https://paper.tuisec.win/detail/6def410b47321f1
    https://mp.weixin.qq.com/s/cbt1Y-mEo91LGBHgwd4rOw
    `
    一、CVE 数据源
    对于CVE数据的拉取来源,主要有如下两种方式,第一种是监控账号@CVEnew的推文(Tweets),另一种是文件(JSON, XML各种格式)使用以下网址进行下载:
    https://nvd.nist.gov/vuln/data-feeds
    感兴趣可参见如下网站:
    https://cve.mitre.org/cve/data_feeds.html

    二、编写python脚本获取数据
    2.1 申请Twitter开发者权限
    2.2 学习API文档
    2.3 借助tweepy包,调用推特API

    三、开启监控

    四、一点思考
    4.1 CVEnew账号的推文是CVE漏洞的状态变更,有兴趣的小伙伴可以结合以下网址的数据
    https://nvd.nist.gov/vuln/data-feeds
    4.2 CVE数据加上企业使用的各种软硬固件信息,才能产生精准的情报信息
    `

  2. CVE 和 NVD 的关系 (CVE and NVD Relationship)
    https://cve.mitre.org/about/cve_and_nvd_relationship.html
    `
    首先,CVE 和 NVD 是两个独立的项目!
    CVE 这个项目是由 MITRE 在1999年作为社区项目发起的;
    NVD 是由 NIST 在2005年发起的。

    CVE——是一个包含一个识别号码、一个描述和至少一个公共引用的网络安全漏洞列表。CVE数据被来自世界各地的许多网络安全产品和服务所使用,包括NVD。
    NVD——是一个建立在CVE列表上并与之完全同步的漏洞数据库,任何对CVE的更新都会立即出现在NVD中。

    CVE和NVD的关系——CVE为NVD提供信息,然后,NVD根据CVE条目中包含的信息为每个条目提供增强信息,如修复信息、严重程度评分和影响评级。作为其增强信息的一部分,NVD还提供了高级搜索功能,如通过操作系统,按供应商名称、产品名称和/或版本号,并按漏洞类型、严重程度、相关漏洞利用范围、影响程度进行排序。

    CVE和NVD虽然是独立的,但都是由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)赞助的,公众可以免费使用。
    `

  3. NIST、CIS、MITRE、SANS 傻傻分不清楚
    https://mp.weixin.qq.com/s/wZF3TAVPr5t2KxMi_Gc2-w
    `
    无论你是网络安全从业的新兵,还是久经沙场的老将,在进入新领域的时候,心里总是会问自己几个问题:
    1、其他兄弟单位怎么做的?
    2、其他行业怎么做的?
    3、先进国家怎么做的?

    兄弟单位的做法,可以通过自己的人脉,或者领导协调,找到对接人员进行了解。
    其他行业的做法,可能要通过各种微信群(这里要给君哥的“金融业企业安全建设实践群”打call,干货无数)、技术大会才能窥其一二。
    先进国家的做法呢?是不是要参加BlackHat、加入跨国公司获取呢?虽然肉身翻墙是条解决之路,但还有更简单的方法。这就是今天要说的这些组织了。

    本文将从四个方面做一些信息梳理,希望能和大家一起对这些组织建立初步的了解。每个组织都按照 3 部分展开,最后给出之间的关系图。
    Part1、组织介绍
    Part2、代表成果
    Part3、内容索引
    Part4、关联分析

    NIST在信息技术与网络安全方面主要有九大重点研究领域,图有点看不清楚,笔者把这些领域及主要内容列出来。

    1、网络安全和隐私保护
    主导和参与制定国家及国际标准
    加强在物联网标准化工作方面的参与度

    2、风险管理
    下一代风险管理框架 (RMF),第二章已经介绍
    隐私工程和风险管理
    NIST 网络安全框架,第二章已经介绍
    受控非机密信息
    系统安全工程
    网络供应链风险管理(C-SCRM)

    3、密码算法及密码验证
    后量子密码
    轻量级密码
    密码模块测试

    4、前沿网络安全研究及应用开发安全
    使用虚拟机管理程序的漏洞数据进行取证分析
    智能电网网络安全
    电子投票系统的安全性
    区块链技术和算法安全

    5、网络安全意识、培训、教育和劳动力发展
    国家网络安全教育倡议 (NICE)
    网络安全资源共享
    网络安全可用性

    6、身份和访问管理
    数字身份管理
    个人身份验证

    7、通信基础设施保护
    蜂窝和移动技术安全
    5G安全
    国家公共安全宽带网(NPSBN)
    零信任架构
    改善安全卫生
    安全域间路由(SIDR)
    传输层安全(TLS)

    8、新兴技术
    物联网(IoT)网络安全
    人工智能(AI)

    9、先进的安全测试和测量工具
    自动化组合测试
    国家漏洞数据库(NVD)
    开放式安全控制评估语言(OSCAL)
    网络风险分析
    计算机取证工具测试(CFTT)
    国家软件参考库(NSRL)
    `

  4. OpenCVE (formerly known as Saucs) is a platform that alerts you about new vulnerabilities related to the CVE list.
    https://github.com/opencve/opencve
    `
    # OpenCVE
    OpenCVE (formerly known as Saucs) is a platform that alerts you about new vulnerabilities related to the CVE list.

    # How does it work
    OpenCVE uses the JSON feed provided by the NVD to be synchronized.

    After an initial import, a background task is regularly executed to check changes in the list. If a new CVE is added, or if a change is detected, the subscribers of the related vendors and products will be alerted.

    For now the only method of notification is the mail, but we plan to add other integrations (webhooks, Slack, Jira, PagerDuty, OpsGenie…).
    `
    https://nvd.nist.gov/vuln/data-feeds#JSON_FEED

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注