亚美和CVSS

亚美已采用 通用漏洞评分系统(CVSS) 作为传达其产品中安全漏洞严重性的标准。 评论家已经跳槽甲骨文"manipulating"2006年10月重要补丁更新(CPU)的CVSS得分(这里的故事)。

First and foremost, I applaud 亚美's decision to adopt CVSS and jettison the old proprietary 系统. 随着越来越多的大型组织开始使用CVSS,这些指标将变得更加广泛地被理解和识别。

使用CVSS对亚美产品中的安全漏洞的严重性进行评级远非完美,因此必须理解所得的分数以正确理解与已修补漏洞相关的风险。 关于亚美对CVSS的使用,需要考虑三个方面-(1)CVSS标准本身;(2)亚美对CVSS的实现;以及(3)客户对漏洞评分的解释。

CVSS标准和亚美产品

CVSS显然是由网络和系统安全人员开发的(考虑到其用途,这可能是适当的),这体现在对网络设备和操作系统的重视过大,而不是衡量网络设备,操作系统,数据库和应用程序共享类似指标的指标权重。 CVSS的机密性,完整性和可用性值为“无”,“部分”和“完整”。 对于任何类别的完整分数,整个"system"必须被完全破坏,而不仅仅是整个数据库或整个应用程序。 因此,攻击者的能力"own"整个数据库而不是Unix根帐户只会给您Partial。 攻击者能够破坏亚美应用服务器并完全操纵亚美 HTTP Server(Apache)来替换或更改任何文件-仅部分文件,情况与此类似。

因此,从根本上讲,应用程序或数据库漏洞实际上只能得分为7分,而网络路由器或服务器运行中的漏洞得分可以满分为10分。 您仍然丢失了所有数据,但是只有7。

当您仅查看一个类别(机密性,完整性或可用性)时,分数将变得更加糟糕。 如果您可以轻易地远程破坏整个数据库的机密性或完整性,并且无需身份验证,则分数为2.3。  整个数据库的机密性和完整性都只能得到4.7。 

我的第一个想法是,如果您可以同时损害整个数据库的机密性和完整性,那么您很可能能够影响可用性并获得7分。  Not true. 在2006年10月CPU的11个漏洞中,对于机密性和完整性均标记为Partial +,其中8个标记为“无”,最高得分为4.7(因为身份验证实际上仅需要2.8)。

在亚美修复的所有数据库漏洞中,很少有无需认证即可直接破坏数据库中的数据的漏洞。  Usually you have to leverage multiple vulnerabilities or perform other actions once the operating 系统 is compromised (neither 亚美 or CVSS take the "blended threat" into account). 在这种情况下,几乎所有数据库漏洞的最高分数都更低。 数据库漏洞的实际最高分数实际上仅为4.2。

亚美和CVSS指标

如上所示,问题不在于亚美,而在于CVSS指标与数据库和应用程序一起工作的方式。 基于对CVSS标准的纯解释,所有亚美分数看起来都很合适。 由于数据库和应用程序的得分较低,我真的不能责怪亚美使用CVSS或指责他们将CVSS用作营销工具,因为它实际上是同类软件中唯一的标准,并且得到了国土部的支持。安全。

为了稍微考虑这个问题(我必须在这方面给亚美一些荣誉),亚美稍微修改了CVSS值(请参阅Metalink注释ID) 394487.1)包含Partial +,这意味着该组件(即数据库)的完全妥协。 但是,Partial +不会以任何方式更改指标。 亚美确实建议您将Partial +更改为Complete,然后自己重​​新计算漏洞分数。 标准是一种标准,每个人都应以相同的方式实施(否则,您最终会得到类似于UNIX的东西)。

甲骨文一直忽略"blended threats" and only looks at "每个安全漏洞都是独立存在的。" 由于标准亚美数据库功能中存在所有缓冲区溢出和SQL注入错误,因此SQL注入是一种出色的攻击手段,与尝试传统的SQL注入方法相比,利用这些已知漏洞要容易得多。  However, "blended threats"没有以任何方式包含在CVSS分数中,亚美也未研究这种可能性。

客户使用CVSS指标

Customers really to need to fully understand what the CVSS scores mean and that the scores are not directly comparable to network devices or operating 系统s scores. 查看分数时,建议您遵循以下准则获得最高分数。 这些最大值表示数据库,服务器或应用程序可能会完全受损-

亚美数据库= 4.2
亚美应用服务器= 4.7
亚美电子商务套件= 4.7

这些是这些产品中几乎所有亚美漏洞均可达到的现实最高分数。 是的,可能会有更高的分数,但这将是罕见的事件。 需要检查所有带有以下标记的漏洞的风险矩阵"Partial+",代表产品的完整折衷(请参阅Metalink注释ID 394487.1).

对于亚美 E-Business Suite客户来说,另一个主要问题是,没有直接或官方的漏洞映射到补丁程序。 因此,CVSS分数不能轻易用于对补丁进行优先级排序。 我希望在将来的重要补丁更新中,亚美将提供此映射。

 Share this post