Поле приоритета на страницах CVE по адресу http://people.ubuntu.com/~ubuntu-security/cve/CVE-XXXX

Question 1

На http://people.ubuntu.com/~ubuntu-security/ исправления безопасности для пакетов объявляются и соотносятся с соответствующим CVE от Mitre.

Мне просто интересно, как устанавливается «Приоритет». Например, эксплойт в пакете jdk имеет базовое значение cvss v2 10.0 (следуйте по ссылке на NVD здесь ), максимально возможный, но приоритет с точки зрения ubuntu только «средний», тогда как Heartbleed с cvss v2 base 5.0 получил приоритет «высокий».

Является ли это приоритетное поле результатом человеческого исследования, или я что-то смешал?

Question 2

Существует также рассмотрение установленной основы и использование. Bash присутствует на практически каждой установке Ubuntu там, в основе чрезвычайно большого количества сценариев, тогда как Java... не так. Я был бы любой день предоставлять более высокий приоритет использованию удара, чем использование Java. (И слышать, что люди говорят о нем, использование Java открывается время от времени так или иначе.)

<час>

служба безопасности Wiki связывается со Средством отслеживания CVE README, который описывает приориты:

negligible        Something that is technically a security problem, but is
                  only theoretical in nature, requires a very special
                  situation, has almost no install base, or does no real
                  damage.  These tend not to get backport from upstreams,
                  and will likely not be included in security updates unless
                  there is an easy fix and some other issue causes an update.

low               Something that is a security problem, but is hard to
                  exploit due to environment, requires a user-assisted
                  attack, a small install base, or does very little damage.
                  These tend to be included in security updates only when
                  higher priority issues require an update, or if many
                  low priority issues have built up.

medium            Something is a real security problem, and is exploitable
                  for many people.  Includes network daemon denial of service 
                  attacks, cross-site scripting, and gaining user privileges.
                  Updates should be made soon for this priority of issue.

high              A real problem, exploitable for many people in a default
                  installation.  Includes serious remote denial of services,
                  local root privilege escalations, or data loss.

critical          A world-burning problem, exploitable for nearly all people
                  in a default installation of Ubuntu.  Includes remote root
                  privilege escalations, or massive data loss.

В этом случае, Контузия была ошибкой, влияющей на программное обеспечение, это - часть стандартной установки - удар. Поэтому это - высокий приоритет.

Насколько я могу сказать, приоритет установлен людьми во время ошибка, сортирующая .

muru · Accepted Answer · 24 April 2015 в 20:18

Существует также рассмотрение установленной основы и использование. Bash присутствует на практически каждой установке Ubuntu там, в основе чрезвычайно большого количества сценариев, тогда как Java... не так. Я был бы любой день предоставлять более высокий приоритет использованию удара, чем использование Java. (И слышать, что люди говорят о нем, использование Java открывается время от времени так или иначе.)

<час>

служба безопасности Wiki связывается со Средством отслеживания CVE README, который описывает приориты:

negligible        Something that is technically a security problem, but is
                  only theoretical in nature, requires a very special
                  situation, has almost no install base, or does no real
                  damage.  These tend not to get backport from upstreams,
                  and will likely not be included in security updates unless
                  there is an easy fix and some other issue causes an update.

low               Something that is a security problem, but is hard to
                  exploit due to environment, requires a user-assisted
                  attack, a small install base, or does very little damage.
                  These tend to be included in security updates only when
                  higher priority issues require an update, or if many
                  low priority issues have built up.

medium            Something is a real security problem, and is exploitable
                  for many people.  Includes network daemon denial of service 
                  attacks, cross-site scripting, and gaining user privileges.
                  Updates should be made soon for this priority of issue.

high              A real problem, exploitable for many people in a default
                  installation.  Includes serious remote denial of services,
                  local root privilege escalations, or data loss.

critical          A world-burning problem, exploitable for nearly all people
                  in a default installation of Ubuntu.  Includes remote root
                  privilege escalations, or massive data loss.

В этом случае, Контузия была ошибкой, влияющей на программное обеспечение, это - часть стандартной установки - удар. Поэтому это - высокий приоритет.

Насколько я могу сказать, приоритет установлен людьми во время ошибка, сортирующая .

Поле приоритета на страницах CVE по адресу http://people.ubuntu.com/~ubuntu-security/cve/CVE-XXXX

1 ответ

Другие вопросы по тегам:

Похожие вопросы: