• Главная
•  > 
• Лицензирование

• Коротко о классификации уязвимостей
• Подробно об Общей Системе Оценки Уязвимостей

По мере появления уязвимостей Oracle выпускает патчи, а раз в квартал выходят кумулятивные обновления (CPU – Critical Patch Update).

Коротко о классификации уязвимостей

В описании кумулятивных обновлений используется Общая Система Оценки Уязвимости (Common Vulnerability Scoring System, CVSS), предназначенная для классификации уязвимостей по шкале критичности от 0 до 10.

• 0,0 – 3,9 — низкая степень
• 4,0 – 6,9 — средняя степень
• 7,0 – 9,9 — высокая степень
• 10 — критическая степень

Например, обновление для СУБД Oracle от 12.01.2010 содержит «заплатки» для 10 уязвимостей,  1 из которых является критической.

В соответствии с критериями CVSS критической считается уязвимость, которая устанавливается по умолчанию, трассируется по сети, не требует аутентификации для доступа и позволяет атакующему получить доступ уровня system или root.

Подробно об Общей Системе Оценки Уязвимостей

Расчет уязвимости производится на основе набора показателей (вектор доступа, сложность доступа, аутентификация, влияние на конфиденциальность, влияние на целостность, влияние на доступность).

Вектор доступа (Access Vector) определяет, как уязвимость может быть обнаружена и использована.

• Local – злоумышленнику необходим физический доступ к компьютеру;
• Adjacent Network – злоумышленнику необходим доступ к локальной сети;
• Network – уязвимость может быть использована из сети Интернет.

Сложность доступа (Access Complexity) определяет, насколько сложно провести атаку на систему через уязвимость после получения доступа к ней.

• High – злоумышленнику необходимо иметь высокую квалификацию, использовать нестандартные пути реализации атаки и обладать значительной информацией о системе. Конфигурация ПО является достаточно экзотической;
• Medium – злоумышленник должен иметь ограниченные права в системе. Конфигурация ПО отличается от конфигурации по умолчанию;
• Low – конфигурация по умолчанию. Круг тех, кто может являться злоумышленником, не ограничен.

Аутентификация (Authentication) определяет, сколько уровней аутентификации и авторизации должен пройти злоумышленник, прежде чем он получит возможность использовать уязвимость в системе.

• Multiple – множественная аутентификация и авторизация;
• Single – однократная авторизация;
• None – отсутствие аутентификации и авторизации.

Влияние на конфиденциальность (Confidentiality Impact) определяет влияние успешной атаки с использованием уязвимости на конфиденциальность системы и данных.

• None – отсутствие влияния;
• Partial – злоумышленник получает доступ к ограниченному набору данных;
• Complete – злоумышленник получает полный доступ ко всем данным.

Влияние на целостность (Integrity Impact) определяет влияние успешной атаки с использованием уязвимости на целостность данных и системы.

• None – отсутствие влияния;
• Partial – частичная потеря целостности (возможна модификация части конфигурации системы, часть данных может быть подменена и пр.);
• Complete – возможна подмена любых данных, модификация конфигурации и процессов всей системы.

Влияние на доступность (Availability Impact) определяет влияние успешной атаки с использованием уязвимости на доступность системы.

• None – отсутствие влияния;
• Partial – частичная недоступность (падение производительности системы или ее частей, непродолжительные перерывы в доступности данных);
• Complete – полная недоступность системы, отказ в обслуживании.

Более подробные сведения по системе CVSS и входящим в нее показателям можно получить на сайте CVSS (английский).