Вопросы Теги

Неверная значимость CVE в содержании OVAL

Я смотрю https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.trusty.cve.oval.xml

Здесь для CVE-2017-5638 , степень тяжести установлена ​​на Medium - https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.trusty.cve.oval.xml

Это неверно. Согласно NVD, серьезность должна быть высокой.

Является ли это опечаткой или есть причина, по которой она установлена ​​на Medium, даже если NVD отметил ее High?

-1
задан 18 October 2017 в 03:08

2 ответа

Трекер CVE не имеет серьезности. Он имеет приоритет и настроен на то, что команда безопасности считает приоритетом, насколько важно исправить проблему.

Это подробно описано в файле README трекера Ubuntu CVE, который вы действительно должны рассмотреть, это дает лучшую информацию здесь.

Марк Дезлорье на IRC ответил в моем запросе прокси на это:

mdeslaur> у нас нет серьезности, у нас есть «приоритет», основанный на как мы уделяем приоритетное внимание работе, а не влиянию проблемы безопасности mdeslaur> Кроме того, пакет в этом конкретном вопросе находится во вселенной, где большую часть времени приоритет по умолчанию присваивается только «среднему», если кто-то не делает что-то лучше

Что касается рассматриваемого пакета, тем не менее, он находится во Вселенной, а «Средний» обычно является дефолтом для тех, кого я считаю.

4
ответ дан 18 July 2018 в 05:08

Трекер CVE не имеет серьезности. Он имеет приоритет и настроен на то, что команда безопасности считает приоритетом, насколько важно исправить проблему.

Это подробно описано в файле README трекера Ubuntu CVE, который вы действительно должны рассмотреть, это дает лучшую информацию здесь.

Марк Дезлорье на IRC ответил в моем запросе прокси на это:

mdeslaur> у нас нет серьезности, у нас есть «приоритет», основанный на как мы уделяем приоритетное внимание работе, а не влиянию проблемы безопасности mdeslaur> Кроме того, пакет в этом конкретном вопросе находится во вселенной, где большую часть времени приоритет по умолчанию присваивается только «среднему», если кто-то не делает что-то лучше

Что касается рассматриваемого пакета, тем не менее, он находится во Вселенной, а «Средний» обычно является дефолтом для тех, кого я считаю.

4
ответ дан 24 July 2018 в 18:15
  • 1
    Я обновил приоритет CVE до «необученного», что означает, что мы не полностью рассмотрели приоритет проблемы. В этом конкретном случае это связано с тем, что Ubuntu не затрагивается, и этот пакет находится во вселенной. – tyhicks 18 October 2017 в 02:13
  • 2
    Возможно, тогда вы делаете это неправильно. `` `& lt; advisory & gt; & Л; Тяжесть & GT; средний & л; / & Тяжесть GT; & Lt; public_date & GT; 2017-03-10 & л; / public_date & GT; & lt; detected_by & gt; Nike Zheng & lt; / detected_by & gt; & Lt; / консультативный & GT; `` `Вы используете тег серьезности, что на самом деле означает серьезность. Либо вы должны прекратить его заполнять, либо вывести критичность из NVD. Кстати, рекомендация должна иметь аспект критичности. Почему опускание - хорошая идея? Служба безопасности теряет свой смысл без этой информации о критичности. – praving5 18 October 2017 в 04:18
  • 3
    Кстати, CVE-2017-5638 - это тот, который используется для Equifax. Не знаете, почему команда безопасности считала, что она носит средний характер? Итак, чтобы довести дело до конца, означает ли это, что овальный контент безопасности, предоставляемый Ubuntu, не имеет гарантий безопасности или легитимности? Он просто сидит там - если кто-то может извлечь из него какую-либо ценность, лучше ничего не поделать? – praving5 18 October 2017 в 04:24
  • 4
    @ praving5 - Как объяснил Томас Уорд, вы вводите в заблуждение «серьезность». из эксплойта безопасности с «приоритетом», назначенный командой безопасности. По умолчанию используется значение "medium" приоритет. Вероятно, разумный дефолт, так как все ошибки безопасности в любом случае уже имеют самый высокий приоритет, поэтому средние с высоким приоритетом ошибок безопасности кажутся разумным дефолтом. Это подробно объясняется в ссылке, которую вы указали - bazaar.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master/… . – Panther 18 October 2017 в 06:52
  • 5
    @ praving5 - Medium является приоритетом из-за расположения пакета во вселенной и, следовательно, не является частью ядра ubuntu. Вы также пропустили «Ubuntu не затронуты». , Поэтому, когда вы просматриваете сценарий, хотя equifax был / является серьезной проблемой, Ubuntu не подвержен влиянию, поэтому команда безопасности подверглась соответствующей ошибке. Очевидно, Equifax или пользователи служб Equifax должны рассмотреть возможность использования Ubuntu more =) – Panther 18 October 2017 в 06:52

Другие вопросы по тегам:

Похожие вопросы: