Red Hat Training

A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform

4.2.5. Clasificación de gravedad e impacto de los parches de seguridad de JBoss

Para comunicar el riesgo de cada falla de seguridad de JBoss, Red Hat usa una escala de gravedad de cuatro puntos: bajo, moderado, importante y crítico, además de los puntajes base de la versión 2 del Sistema de puntaje de vulnerabilidad común (CVSS, por sus siglas en inglés), los cuales se pueden utilizar para identificar el impacto de la falla.

Tabla 4.2. Clasificación de gravedad de los parches de seguridad de JBoss

Intensidad Descripción
Crítico
Esta clasificación se da para las fallas que puedan ser explotadas fácilmente por parte de un atacante no autenticado remoto y llevar a comprometer el sistema (ejecución arbitraria de código) sin requerir interacción con el usuario. Estos son los tipos de vulnerabilidades que pueden ser explotadas por parte de los gusanos. Las fallas que requieren un usuario remoto autenticado, un usuario local o una configuración poco probable no se clasifican como de impacto crítico.
Importante
Esta calificación se le da a las fallas que pueden fácilmente comprometer la confidencialidad, integridad o la disponibilidad de los recursos.Estos son los tipos de vulnerabilidades que le permiten a los usuarios locales el ganar privilegios, permitirle a los usuarios remotos no autenticados el ver recursos que de otra manera deben estar protegidos por la autenticación, permitirle a los usuarios remotos autenticados el ejecutar código arbitrario o permitirle a los usuarios locales o remotos el generar una negación de servicio.
Moderado
Esta calificación se le da a las fallas que puedan ser más difíciles de explotar pero que podrían conllevar a comprometer la confidencialidad, integridad o disponibilidad de los recursos, bajo ciertas circunstancias. Estos son los tipos de vulnerabilidades que podrían haber tenido un impacto crítico o importante pero que se explotan de manera menos fácil con base en una evaluación técnica de la falla o afectan muy poco probablemente las configuraciones.
Bajo
Esta calificación se le da a los otros problemas que tengan impacto en la seguridad. Estas son los tipos de vulnerabilidades que se cree que requieren circunstancias poco posibles para que se puedan explotar o en donde si se explotara de manera exitosa entonces generaría consecuencias mínimas.
El componente impacto de una calificación CVSS v2 se basa en una evaluación combinada de tres impactos potenciales: confidencialidad (C), integridad (I) y disponibilidad (A). Cada una de estas se puede calificar como Ninguno (N), Parcial (P) o Completo (C).
Debido a que el proceso del servidor JBoss ejecuta como un usuario no privilegiado y se aisla del sistema operativo host, las fallas de seguridad de JBoss sólo se califican con un nivel de impacto de Ninguno (N) o Parcial (P).

Ejemplo 4.1. Calificación de impacto CVSS v2

El ejemplo a continuación muestra una calificación de impacto CVSS v2, en donde el explotar la falla no tendría impacto en la confidencialidad del sistema, impacto parcial en la integridad del sistema e impacto completo en la disponibilidad del sistema (es decir, el sistema quedaría en estado no disponible para ningún uso, por ejemplo, a través de un fallo de kernel).
C:N/I:P/A:C
Combinado con la calificación de gravedad y el puntaje CVSS, las organizaciones pueden realizar decisiones con la suficiente información sobre el riesgo que cada problema conlleva en su entorno único y programar las actualizaciones correspondientes.
Para mayor información sobre CVSS2, por favor consulte: CVSS2 Guide.