网站服务器_装修网站建设_试用

安全 虚拟云 浏览

小编:CVSS 3.0版: CVSS 3.0版开发3年,于2015年6月10日发布。这是由CVSS特别利益集团(SIG)监督的,来自从银行和金融到技术和学术界的广泛行业代表的意见? 版本3.0中引入了许多改进。在本

CVSS 3.0版:

CVSS 3.0版开发3年,于2015年6月10日发布。这是由CVSS特别利益集团(SIG)监督的,来自从银行和金融到技术和学术界的广泛行业代表的意见?

版本3.0中引入了许多改进。在本文中,我将只介绍基本度量组的主要改进,这是SAP使用的度量组。

如果您需要有关基本度量组的更多信息,请参阅CVSS 3.0版规范文档(第2节)。

1)范围、易受攻击组件和受影响组件

主要开发目标之一对于CVSS版本3.0来说是为了解决"范围"问题。让我解释一下什么是"范围"问题。

"范围"问题:在CVSS版本2中,针对"目标主机操作系统"对漏洞进行评分。因此,对SAP应用程序有严重影响但对目标主机操作系统影响有限的漏洞被评为不太严重("部分影响")。例如,SAP应用程序中的漏洞允许攻击者执行拒绝服务(DoS)攻击,从而影响易受攻击的SAP应用程序的可用性。即使完全关闭易受攻击的SAP应用程序,也只会导致CVSS版本2中可用性指标的"部分"(影响)评级。根据CVSS第2版指南,只有在主机操作系统也可以关闭的情况下,才能给出可用性的"完整"(影响)评级。

这显然是许多应用软件供应商的问题,包括SAP。因此,CVSS版本3引入了一个解决方案。

为了解决这个问题,CVSS版本3引入了"授权范围",或者简单地将"范围"度量值添加到基本度量值组中。此新度量值允许我们捕获漏洞的程度,其影响超出了易受攻击的组件。

范围的定义是指由计算机构(例如应用程序、操作系统、,或沙盒环境),允许访问计算资源(如文件、CPU、内存等)。

当我们有两个单独的组件分别管理计算资源的权限时,它们代表单独的(授权)权限。回到我们的DoS攻击示例,假设易受攻击的SAP应用程序由"Authority A"管理,而主机操作系统由"Authority B"管理

(信用证:CVSS用户指南)如上图所示,CVSS 3.0版利用可利用性度量来单独评估易受攻击的组件。另一方面,影响度量是相对于受影响的组件进行评分的。当易受攻击的组件与受影响的组件相同时,没有范围更改。但是,当对易受攻击组件之外的组件有影响时,范围发生了变化。在这些情况下,云阿里服务器,应对机密性、完整性和可用性影响度量进行评分,以反映对易受攻击组件或受影响组件的影响,以最严重的为准。

回到我们上面的DoS攻击示例,在CVSS版本3中,我们可以将可用性影响评为"高"(最高分数),以表示对易受攻击的应用程序的实际影响,而不考虑其对主机操作系统的影响。对于主机操作系统的可用性也受到影响的情况,增加的严重性用"范围"度量表示–范围已更改。

(信用:CVSS用户指南)上图说明了"范围"度量计算。

2)影响度量分数计算说明

a)"主要影响"与"合理最终影响"相比

在版本3.0中,"影响度量"(CIA–机密性影响、完整性影响和可用性影响)计算表示成功利用漏洞可能造成的"合理最终影响"。在CVSS版本2中,影响计算仅考虑"主要影响"。在我看来,CVSS版本3在考虑全局方面更具优势。

例如,数据库程序,在CVSS版本2中,导致管理员凭据泄露的漏洞被评为对机密性的"部分"影响(对完整性或可用性没有影响)。然而,我们应该认识到潜在的影响(或者说后果)会导致攻击者获得管理权限。在版本3.0中,云服务器性能,相同的漏洞将被评为对CIA的"高"影响。

b)"无、部分、完整"与"无、低、高"

在CVSS版本2中,捧云淘客,CIA影响的可能值为"无、部分和完整",在版本3.0中被"无、低和高"取代。新的度量值反映了攻击造成的总体"影响程度"。这与CVSS版本2中受攻击影响的系统的总体百分比不同。这种变化可以通过"Heartbleed"漏洞(CVE-2014-0160)得到最好的解释。此"缓冲区过度读取"漏洞使攻击者能够读取最多64 KB的受害者内存,在CVSS版本2中,该漏洞的基本度量值为5.1(NLN | PNN)。成功利用此漏洞只能导致部分(高达64 KB)信息泄漏。然而,为"保密影响"提供的"部分"评级并未考虑所披露数据(或信息)的敏感性。由于CVSS版本2无法捕获受攻击数据的敏感度,因此导致披露敏感度较低的信息(如web服务器的版本信息)的漏洞也被评为5.1的基本度量分数。然而,在"Heartbleed"漏洞中,诸如用于X.509证书的密钥、用户名和密码、电子邮件、即时消息、业务关键文档等敏感度较高的信息被泄露。在版本3.0中,"Heartbleed"漏洞的基本度量分数为7.5(NLNN | UHNN)。您可以看到,考虑到受到攻击的数据的敏感性/关键性,即使数据小于64 KB,机密性影响也被评为"高"。

3)攻击复杂性

当前网址:http://www.vmchk.com/secaidapei/2021/0722/95793.html

 
你可能喜欢的: