5.5. Classificação de impacto e gravidade do JBoss Security Patches
A Red Hat usa uma escala de 4 pontos de gravidade: baixa, moderada, importante e crítica, além de duas contagens básicas de versão do Common Vulnerability Scoring System (CVSS) que podem ser usadas para identificar o impacto da falha.
Tabela 5.1. Classificação de gravidade do JBoss Security Patches
| Gravidade | Descrição |
|---|---|
| Crítica |
A classificação é dada para as falhas que poderiam ser facilmente exploradas por um invasor não identificado e levar a comprometer o sistema (execução de código arbitrário) sem requerer a interação do usuário. Existem tipos de vulnerabilidades que podem ser exploradas. As falhas que requerem um usuário remoto autenticado, um usuário local ou uma configuração improvável não são classificadas como impacto crítico.
|
| Importante |
A classificação é dada às falhas que podem facilmente comprometer a confidencialidade, integridade ou habilidade de recursos. Esses são tipos de vulnerabilidades que permitem usuários locais ganharem privilégios, permitir usuários remotos não autenticados a visualizarem recursos que deveriam ser protegidos pela autenticação ou permitir usuários local ou remoto a causarem uma negação de serviço.
|
| Moderada |
A classificação é dada para as falhas que poderiam ser dificilmente exploradas, mas podem comprometer a confidencialidade, integridade ou disponibilidade de recursos, sob certas circunstâncias. Existem tipos de vulnerabilidades que podem possuir um impacto crítico de falha ou impacto importante, no entanto não são exploradas com tanta facilidade devido à avalização técnica da falha ou por afetarem as configurações comprometedoras.
|
| Baixa |
A classificação é dada a todos os demais problemas que um impacto de segurança possui. Estes são os tipos de vulnerabilidades que acredita-se requerem circunstâncias improváveis para estarem aptos a serem explorados ou onde a exploração com êxito geraria uma consequência mínima.
|
O componente de impacto da contagem CVSS v2 é baseado numa avaliação combinada de três impactos potenciais: Confidencialidade (C), Integridade (I) e Disponibilidade (A). Cada um deles podem ser classificados como Nenhum (N), Parcial (P) ou Completo (C).
Uma vez que o processo do servidor do JBoss executa como um usuário não privilegiado e está isolado do sistema operacional do host, as falhas de segurança do JBoss são apenas classificadas como possuindo impactos como tanto Nenhum (N) ou Parcial (P).
Exemplo 5.1. Métricas do CVSS v2
A amostra abaixo apresenta a pontuação do impacto CVSS v2, onde a exploração da falha não teria impacto na confiabilidade do sistema, impacto parcial na integridade do sistema e completo impacto na disponibilidade do sistema (quer dizer, o sistema tornaria-se completamente indisponível para qualquer uso, por exemplo: através do travamento do kernel).
C:N/I:P/A:C
As organizações podem tomar decisões informativas sobre o risco de que cada problema acarreta em seu ambiente único e esquematizar atualizações de acordo, com a combinação da classificação de gravidade e a pontuação CVSS.
Por favor consulte: CVSS2 Guide para maiores informações a respeito do CVSS2.
