Oracle和CVSS.

甲骨文已采用 常见的漏洞评分系统(CVSS) 作为传达其产品中安全漏洞严重程度的标准。 批评者已经跳过甲骨文"manipulating"2006年10月的CVSS分数关键补丁更新(CPU)(故事)。

首先,我鼓掌甲骨文决定采用CVSS和抛弃旧专有系统。 随着更多大型组织开始使用CVSS,指标将变得更广泛理解和可辨别。

CVSS用于评估Oracle产品中的安全漏洞的严重程度远非完美,必须理解所产生的分数,以正确理解与修补漏洞相关的风险。 有三个方面需要考虑关于Oracle对CVSS的用法 - (1)CVSS标准本身,(2)Oracle的CVS的实现,(3)客户对漏洞分数的解释。

CVSS标准和Oracle产品

通过网络设备和操作系统上的重权加权而不是网络设备,操作系统,数据库和应用程序共享类似的公制,由网络和系统安全性的人(可能适用于其目的)清楚地开发了CVSS。加权。 CVSS机密性,完整性和可用性值都不是,部分和完整。 在任何类别中的完整分数,整个"system"必须完全妥协,而不仅仅是整个数据库或整个应用程序。 因此,攻击者的能力"own"整个数据库而不是Unix root帐户只会为您提供部分。 类似于攻击者能够危及Oracle Application Server的情况并完全操作Oracle HTTP服务器(Apache)以替换或更改任何文件 - 仅部分。

因此,基本上,应用程序或数据库漏洞实际上只能得分高达7,而网络路由器或服务器的漏洞可以得分为完美的10。 你仍然丢失了所有数据,但它只是一个7。

当你只看一个类别(机密性,完整性或可用性)时,得分变得更加笨拙。 如果您可以轻松地妥协整个数据库的机密性或完整性,远程且没有身份验证,则分数为2.3。  整个数据库的机密和完整性都只会让您获得4.7。 

我的第一次思考是,如果您能够危及整个数据库的机密性和完整性,您很可能能够影响可用性并获得7分。  Not true. 在2006年10月的11个漏洞中,CPU标记为机密性和完整性的部分+,8个标记为无可用性的可用性为4.7(因为只需要身份验证只需要2.8)。

在Oracle固定的所有数据库漏洞中,很少有允许您直接在没有身份验证的情况下直接危及数据库中的数据。 通常您必须利用多种漏洞或一旦操作系统受到损害(Oracle或CVSS都没有采取其他漏洞"blended threat" into account). 这是这种情况,几乎所有数据库漏洞都更低的分数甚至更低。 数据库漏洞的现实最大分数实际上只有4.2。

Oracle和CVSS指标

如上所示,问题不使用Oracle,但通过CVSS指标与数据库和应用程序一起工作的方式。 基于对CVSS标准的纯粹解释,所有Oracle评分都很适合。 由于对数据库和应用程序计算的得分低分,我真的无法使用CVSS或者将其视为营销工具而无法使用Oracle,因为它真的是它的唯一标准,并且由家园部支持安全。

要考虑此问题的某些问题(我必须在此问题上给Oracle一些信用),Oracle已略微修改CVSS值(请参阅Metalink Note ID 394487.1)包括局部+,这意味着组件(即,数据库)的完全妥协。 但是,部分+不会以任何方式更改度量。 Oracle确实建议您更改Partial +以完成并重新计算漏洞的分数。 标准是标准,应该由每个人相同的方式(或者你最终结束了看起来像Unix的东西)。

Oracle一直忽略"blended threats" and only looks at "每个安全漏洞都是孤立的。" 通过所有缓冲区溢出和标准Oracle数据库功能中的所有缓冲区和SQL注入错误,SQL注入是一个出色的攻击向量,它比尝试传统的SQL注入方法更容易利用这些已知的漏洞。  However, "blended threats"不包括在任何方式中的CVSS分数中,也不包含Oracle研究的可能性。

CVSS指标的客户使用

客户真的需要充分了解CVSS分数的意思,并且该分数与网络设备或操作系统分数无直接相当。 查看分数时,我建议您使用以下准则以获得最大分数。 这些最大值表示数据库,服务器或应用程序的可能完全折衷 -

Oracle数据库= 4.2
Oracle Application Server = 4.7
Oracle E-Business Suite = 4.7

这些是这些产品中几乎所有Oracle漏洞所能获得的现实最大分数。 是的,有可能具有更高的分数,但这将是一个罕见的事件。 需要审查风险矩阵的所有漏洞"Partial+",它代表了产品完全妥协(请参阅Metalink Note ID 394487.1).

Oracle E-Business Suite客户的另一个主要问题,没有直接或官方映射漏洞的补丁。 因此,CVSS分数不能容易地用于优先考虑贴片。 我希望在未来的关键补丁更新中,Oracle将提供此映射。

 Share this post