in

Sistema de puntuación CVSS

Uso de oracleCommon Vulnerability Scoring System (CVSS)

Visión general

oracleproporciona clasificaciones de gravedad para las correcciones de errores publicadas en Actualizaciones de parches críticos y Alertas de seguridad. El documento de alerta o aviso de nivel superior contiene matrices de riesgo que enumeran las vulnerabilidades de seguridad corregidas en los parches asociados. Las matrices de riesgo utilizan el Common Vulnerability Scoring System (CVSS) Métricas base para proporcionar información sobre la gravedad de las vulnerabilidades. CVSS captura las características principales de una vulnerabilidad y produce una puntuación numérica que refleja su gravedad. La fórmula CVSS convierte estas métricas en un valor numérico. Puntuación base que oscila entre 0,0 y 10,0, donde 10,0 refleja la mayor gravedad. Las vulnerabilidades en cada matriz de riesgo se ordenan usando este valor, con la vulnerabilidad más severa en la parte superior.

oracleadoptó la última versión de CVSS, versión 3.1, en julio de 2020. Esta página explica la interpretación de oraclede este estándar para ayudar a los lectores a comprender mejor la información CVSS. Las versiones anteriores de CVSS, que se utilizan en avisos y alertas anteriores, se explican en una página separada.

Tenga en cuenta que el propósito de esta página es aclarar la interpretación de oracledel estándar CVSS. Esta página no pretende reemplazar la documentación de CVSS, sino complementarla. Los enlaces a las versiones relevantes de los estándares CVSS se proporcionan en las secciones de Referencias.

Interpretaciones generales de puntuación

Alcance, componente vulnerable y componente afectado

los Vector de ataque, Complejidad de ataque, Privilegios requeridos y La interacción del usuario las métricas se puntúan en relación con el componente vulnerable; y Confidencialidad, Integridad y Disponibilidad se puntúan en relación con el componente impactado. En términos generales, el componente vulnerable es el producto o componente del producto que contiene la vulnerabilidad, que se enumera en la Componente columna de la matriz de riesgo de asesoramiento. El componente afectado es el componente cuyos datos sufren una pérdida de confidencialidad o integridad, o cuya disponibilidad del servicio se ve interrumpida.

Vector de ataque local

Un Vector de ataque de Local indica que el componente vulnerable no se puede explotar directamente a través de una red, pero requiere que un atacante se conecte primero a través de un intérprete de comandos intermediario, por ejemplo, un shell de Unix / Linux o un indicador de DOS. Esto luego se usa para lanzar el ataque invocando el componente vulnerable. Estas conexiones utilizan protocolos como SSH y telnet. Los ataques que requieren conexiones a intérpretes de comandos que no son del sistema operativo, como los intérpretes de SQL, también se consideran ataques locales.

Con respecto a los productos Oracle, un Vector de ataque de Local se utiliza para las vulnerabilidades dentro de un componente de un producto de base de datos que requieren que un atacante se conecte a un intérprete de SQL antes de lanzar el ataque. Es importante señalar que, por lo tanto, es posible que «Local«El ataque debe realizarse a través de una red a gran distancia.

Amenazas combinadas

Cada vulnerabilidad de seguridad se considera y puntúa individualmente. Aunque a veces es posible combinar, o mezcla, amenazas de crear un ataque más severo que la suma de sus partes, es más claro considerar cada vulnerabilidad individualmente. La misma lógica se aplica a las vulnerabilidades que producen un resultado que podría conducir a un daño mayor sin requerir otra vulnerabilidad.

Información oculta y ofuscada

Por lo general, la información oculta y confusa se trata como si fuera texto sin formato. Este es un enfoque más seguro que asumir que un atacante no puede beneficiarse de la información. Por ejemplo, puede ser posible forzar una contraseña débil si se revela su hash.

Métricas temporales y ambientales

CVSS define los siguientes tres grupos de métricas:

  • Métricas base representar “características intrínsecas de una vulnerabilidad que son constantes en el tiempo y en todos los entornos de usuario”;
  • Métricas temporales representando “características de una vulnerabilidad que pueden cambiar con el tiempo pero no en los entornos de los usuarios”; y
  • Métricas ambientales que representa “las características de una vulnerabilidad que son relevantes y únicas para el entorno de un usuario en particular”.

oracleno proporciona valores temporales ya que la primera métrica depende de la disponibilidad de prueba de concepto o código de explotación, que puede cambiar con el tiempo. Se sugieren los siguientes valores para las organizaciones que deseen generar una puntuación temporal:

  • Madurez del código de explotación: uso Funcional por defecto. Usar Elevado si el código de explotación está ampliamente disponible y funciona en todas las situaciones o si la vulnerabilidad está siendo explotada por un código autónomo móvil, como un gusano.
  • Nivel de remediación – Arreglo oficial.
  • Informe de confianza – Confirmado.

Las métricas ambientales solo pueden ser calificadas por los clientes, ya que requieren conocimiento del entorno en el que se encuentra un producto oraclevulnerable determinado.

CVSS versión 3.1

Configuraciones específicas (complejidad de ataque)

La diferencia más significativa entre las versiones 3.0 y 3.1 de CVSS es un cambio en la definición de Attack Complexity. En la versión 3.0, Attack Complexity consideró si el sistema atacado solo podría explotarse si estaba en una determinada configuración. Si es así, la complejidad del ataque es alta. En la versión 3.1, si se requiere una configuración específica para que un ataque tenga éxito, se supone que el sistema atacado está en esa configuración a los efectos de la puntuación.

Una puntuación CVSS versión 3.0 que tiene una complejidad de ataque alta simplemente porque se requiere una configuración específica para que un ataque tenga éxito tendrá una complejidad de ataque baja cuando se puntúe con la versión 3.1. Esto da como resultado una puntuación base más alta cuando se puntúa con la versión 3.1 que con la versión 3.0.

Referencias para CVSS versión 3.1

Especificación Common Vulnerability Scoring System v3.1
https://www.first.org/cvss/v3.1/specification-document

Guía del usuario del Common Vulnerability Scoring System v3.1
https://www.first.org/cvss/v3.1/user-guide

Ejemplos de Common Vulnerability Scoring System v3.1
https://www.first.org/cvss/v3.1/examples

Calculadora Common Vulnerability Scoring System v3.1
https://www.first.org/cvss/calculator/3.1

Página de alertas de seguridad y actualizaciones de parches críticos de Oracle
https://www.oracle.com/security-alerts/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

herramienta rotacion gimp

Cómo usar la herramienta de rotación de Gimp para rotar imágenes

Función Python open ()