Red Hat Training
A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform
4.2.5. Schweregrad und Einstufung der JBoss Security Patches
Um das Risiko jedes JBoss-Sicherheitsmangels zu kommunizieren, verwendet Red Hat eine 4-Punkte-Schweregradskala von niedrig, moderat (mittel), wichtig und kritisch zusätzlich zum Common Vulnerability Scoring System (CVSS) Version 2 Grundeinstufungen (Base Scores), die zur Identifikation des Schweregrads des Fehlers verwendet werden können.
Tabelle 4.2. Schweregrad-Einstufungen der JBoss Sicherheits-Patches
| Schweregrad | Beschreibung |
|---|---|
| Kritisch |
Diese Einstufung wird erteilt, wenn ein Fehler leicht von einem nicht autorisierten Remote-Angreifer ausgenutzt werden kann und zur Kompromittierung des Systems (arbiträre Ausführung von Code) führen kann, ohne dass Nutzerinteraktion notwendig wäre. Diese Art von Fehler kann etwa durch einen Computerwurm ausgenutzt werden. Fehler, die einen authentifizierten Remote-Nutzer oder einen lokalen Nutzer oder aber eine unwahrscheinliche Konfiguration erfordern, gelten nicht als kritisch.
|
| Wichtig |
Diese Einstufung wird erteilt, wenn ein Fehler leicht die Vertraulichkeit, Integrität oder Verfügbarkeit von Ressourcen kompromittieren kann. Diese Art von Schwachpunkt ermöglicht lokalen Nutzern die Erlangung von Berechtigungen, gestattet nicht authentifizierten Nutzern die Ansicht von Ressourcen, die eigentlich durch Authentifizierung geschützt sein sollten, gestattet authentifizierten Remote-Nutzern die Ausführung von arbiträrem Code oder ermöglicht lokalen oder Remote-Nutzern die Verursachung von Denial of Service.
|
| Moderat (Mittel) |
Diese Einstufung wird erteilt, wenn ein Fehler zwar nicht so leicht ausgenutzt werden kann, jedoch trotzdem unter bestimmten Umständen zu einer Kompromittierung der Vertraulichkeit, Integrität oder Verfügbarkeit von Ressourcen führen kann. Diese Art von Fehlern/Mängeln können kritische oder wichtige Auswirkungen haben, sind jedoch aufgrund der technischen Evaluierung des Fehlers nicht so leicht auszunutzen oder betreffen unwahrscheinliche Konfigurationen.
|
| Niedrig |
Diese Einstufung wird allen anderen Fehlern gegeben, die Auswirkungen auf die Sicherheit haben. Bei dieser Art von Fehler/Mangel sind unwahrscheinliche Umstände erforderlich, damit sie ausgenutzt werden können, oder eine eventuelle Ausnutzung hätte nur minimale Folgen.
|
Der Schweregrad einer Komponente einer CVSS v2-Einstufung basiert auf der Einschätzung von drei potenziellen Auswirkungen: Vertraulichkeit bzw. Confidentiality (C), Integrität bzw. Integrity (I) und Verfügbarkeit bzw. Availability (A). Jede von diesen kann als keine bzw. None (N), teilweise bzw. Partial (P) oder komplett bzw. Complete (C) eingestuft werden.
Da der JBoss-Serverprozess als ein unprivilegierter Nutzer läuft und isoliert vom Host-Betriebssystem ist, haben JBoss-Sicherheitsmängel/Fehler nur einen Schweregrad von entweder None (N) oder Partial (P).
Beispiel 4.1. CVSS v2 Auswirkungseinstufung
Das Beispiel unten zeigt eine CVSS v2 Auswirkungseinstufung, bei der eine Ausnutzung des Fehlers keine Auswirkungen auf die Vertraulichkeit des Systems, teilweise Auswirkungen auf die Systemintegrität und komplette Auswirkungen auf die Verfügbarkeit des Systems hätte (d. h. das System wäre beispielsweise durch einen Kernel-Absturz komplett unverfügbar).
C:N/I:P/A:C
In Verbindung mit der Schweregrad-Einstufung und der CVSS-Einstufung können Organisationen informierte Entscheidungen hinsichtlich des Risikos jedes Problems in ihrer jeweiligen Umgebung treffen und Upgrades entsprechend planen.
Für weitere Informationen zu CVSS2 siehe: CVSS2 Guide.
