Oracle安全漏洞评分标准更改(CVSS)

不,Oracle安全漏洞在本季度不仅恶化了很多。 取而代之的是,Oracle将关键补丁更新(CPU)中使用的评分指标从CVSS v2更新为2016年4月的CVSS v3.0。 通用漏洞评分系统(CVSS)是对安全漏洞进行评分和评级的公认方法。 Oracle,Microsoft,Cisco和其他主要软件供应商使用CVSS。

由于我们有 之前讨论过 ,CVSS v2在数据库,中间件和应用程序的Oracle安全漏洞方面的得分低于操作系统和网络组件漏洞。 与许多安全研究人员所说的相反,问题出在CVSS标准上,而不是Oracle对分数的操纵。 CVSS v2特别重视破坏整个操作系统(即root帐户)或设备的能力。 对于所有产品中的大多数Oracle安全漏洞,通过利用Oracle数据库,融合中间件或应用程序(Oracle电子商务套件,PeopleSoft等)的安全漏洞很难破坏根操作系统帐户。 但是,有一些例外情况主要限于运行在Microsoft Windows Server上的Oracle数据库,这会损害管理员帐户。

为了解决CVSS中的这一限制,Oracle在CPU咨询矩阵中仅包含一个“ Partial +”(仅供参考),以指示整个数据库,中间件服务器或应用程序可能受到威胁的地方。 但是,这并未反映在分数中,因为CVSS标准表示“完全”影响“……是信息的全面披露,导致所有系统文件都被披露。” 结果,Oracle CVSS v2的严重或严重错误得分在Oracle数据库中通常为6.5,在融合中间件方面为7.5,对于Oracle E-Business Suite和PeopleSoft等应用程序则为6.4。

CVSS v3.0更改了评分,以更加强调受保护的资产或组件(即数据库或应用程序)。 CVSS的关键定义已从“系统”更改为“受影响的组件”。 计分算法还为利用漏洞所需的特权和漏洞利用范围提供了更高的粒度,例如数据库攻击是否会危害底层操作系统。

现在,Oracle CVSS v3.0分数将更高,尤其是对于融合中间件和Oracle E-Business Suite和PeopleSoft等应用程序而言。 关键的融合中间件安全漏洞将从7.5增加到9.8。 诸如未经身份验证的SQL注入之类的Oracle E-Business Suite和PeopleSoft关键安全漏洞将从6.4跳至9.8。 由于几乎所有的Oracle数据库安全性漏洞都需要数据库身份验证,因此Oracle数据库CVSS评分将从6.5降至8.8,以便轻松利用PUBLIC软件包中的SQL注入漏洞。

与大多数Oracle安全漏洞相关的严重风险仍然很严重。 现在,CVSS评分正确地反映了其中许多错误的严重性。

 Share this post