Red Hat Training
A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform
3.2.5. JBoss セキュリティーパッチの重大度と影響の評価
各 JBoss セキュリティーの欠陥のリスクを伝えるために、Red Hat は、欠陥の影響を特定するために使用できる Common Vulnerability Scoring System (CVSS) バージョン 2 の基本スコアに加えて、低、中、重要、および重大の 4 段階の重大度スケールを使用します。
表3.2 JBoss セキュリティーパッチの重大度評価
| 重大度 | 説明 |
|---|---|
| 重大な影響 |
この評価は、認証されていないリモートの攻撃者によって簡単に悪用され、ユーザーの操作を必要とせずにシステムの侵害 (任意のコード実行) につながる可能性のある欠陥に与えられます。これらは、ワームによって悪用される可能性のある種類の脆弱性です。認証されたリモートユーザー、ローカルユーザー、またはありそうもない設定を必要とする欠陥は、重大な影響として分類されません。
|
| 重要な影響 |
この評価は、リソースの機密性、整合性、または可用性を簡単に損なう可能性のある欠陥に与えられます。これらは、ローカルユーザーが特権を取得したり、認証されていないリモートユーザーが認証によって保護されるべきリソースを表示したり、認証されたリモートユーザーが任意のコードを実行したり、ローカルまたはリモートユーザーがサービス拒否を引き起こしたりすることを可能にする脆弱性の種類です。
|
| 中程度の影響 |
この評価は、悪用するのがより困難である可能性があるが、特定の状況下では、リソースの機密性、整合性、または可用性の妥協につながる可能性がある欠陥に与えられます。これらは、重大な影響または重要な影響を及ぼした可能性があるが、欠陥の技術的評価に基づき悪用されにくい、またはありそうもない設定に影響を与える可能性のあるタイプの脆弱性です。
|
| 低 |
この評価は、セキュリティーに影響を与える他のすべての問題に与えられます。これらは、ありそうもない状況でなければ悪用できない、または悪用に成功しても最小限の影響しかないと考えられるタイプの脆弱性です。
|
CVSS v2 スコアの影響コンポーネントは、機密性 (C)、整合性 (I)、および可用性 (A) の 3 つの潜在的な影響を組み合わせた評価に基づいています。これらはそれぞれ、なし (N)、部分的 (P)、または完全 (C) として評価できます。
JBoss サーバープロセスは非特権ユーザーとして実行され、ホストオペレーティングシステムから分離されているため、JBoss のセキュリティー上の欠陥の影響は、なし (N) または部分的 (P) のいずれかにのみ評価されます。
例3.1 CVSSv2 影響スコア
以下の例は、CVSS v2 の影響スコアを示しています。この例は、欠陥を悪用しても、システムの機密性にはまったく影響せず、システムの整合性に部分的な影響があり、システムの可用性に完全な影響があります (つまりカーネルクラッシュなど、システムが完全に使用できな異状態になります)。
C:N/I:P/A:C
重大度評価と CVSS スコアを組み合わせることで、組織は、各問題が独自の環境に与えるリスクについて情報に基づいた決定を下し、それに応じてアップグレードをスケジュールできます。
CVSS2 の詳細については、CVSS2 ガイド を参照してください。
