Question Champ prioritaire dans les pages CVE sur http://people.ubuntu.com/~ubuntu-security/cve/CVE-XXXX


Sur http://people.ubuntu.com/~ubuntu-security/ Les correctifs de sécurité pour les paquets sont annoncés et corrélés avec le CVE correspondant de Mitre.

Je me demande simplement comment la "priorité" est définie. Par exemple, l'exploit dans le package jdk a une valeur de base cvss v2 de 10.0 (suivez le lien vers NVD). ici), le plus haut possible, mais la priorité de la vue Ubuntu n'est que "moyenne", alors que cœur avec cvss v2 base de 5.0 a obtenu la priorité "high".

Ce domaine prioritaire est-il le résultat d'une enquête humaine ou est-ce que je mélange quelque chose?


2
2018-04-24 06:09


origine


Il y a aussi la prise en compte de la base installée et de son utilisation. Bash est présent pratiquement chaque L'installation d'Ubuntu, là-bas, est au cœur d'un très grand nombre de scripts, alors que Java ~ n'est pas tellement. J'accorderais chaque jour une priorité plus élevée à un exploit de bash qu'un exploit Java. (Et pour entendre les gens en parler, des exploits Java apparaissent de temps en temps.) - muru
Eh bien, Java n'était qu'un exemple. Bien sûr, vous avez raison. Un heartbleed ou shellshock est plus important pour les systèmes de serveur qu'un exploit Java pur basé sur un client. Néanmoins, les valeurs techniques cvss pures disent quelque chose de différent. Ainsi, le prio-field semble être défini par un humain. - user1681285


Réponses:


Il y a aussi la prise en compte de la base installée et de son utilisation. Bash est présent sur pratiquement toutes les installations Ubuntu, il est au cœur d'un très grand nombre de scripts, alors que Java ... pas trop. J'accorderais chaque jour une priorité plus élevée à un exploit de bash qu'un exploit Java. (Et pour entendre les gens en parler, des exploits Java apparaissent de temps en temps.)


le Wiki de l'équipe de sécurité liens vers le CVE Tracker README, qui décrit les priorités:

negligible        Something that is technically a security problem, but is
                  only theoretical in nature, requires a very special
                  situation, has almost no install base, or does no real
                  damage.  These tend not to get backport from upstreams,
                  and will likely not be included in security updates unless
                  there is an easy fix and some other issue causes an update.

low               Something that is a security problem, but is hard to
                  exploit due to environment, requires a user-assisted
                  attack, a small install base, or does very little damage.
                  These tend to be included in security updates only when
                  higher priority issues require an update, or if many
                  low priority issues have built up.

medium            Something is a real security problem, and is exploitable
                  for many people.  Includes network daemon denial of service 
                  attacks, cross-site scripting, and gaining user privileges.
                  Updates should be made soon for this priority of issue.

high              A real problem, exploitable for many people in a default
                  installation.  Includes serious remote denial of services,
                  local root privilege escalations, or data loss.

critical          A world-burning problem, exploitable for nearly all people
                  in a default installation of Ubuntu.  Includes remote root
                  privilege escalations, or massive data loss.

Dans ce cas, Shellshock était un bogue affectant un logiciel faisant partie de l’installation par défaut - bash. Par conséquent, c'est une haute priorité.

Pour autant que je sache, la priorité est définie par les gens pendant tri des bogues.


1
2018-04-24 07:31