14.6. JBoss 安全补丁的严重性和影响级别

为了评估每个 JBoss 安全性漏洞的风险,红帽使用四个安全级别,分别为低(Low)、中等(Moderate)、重要(Important)、严重(Critical),以及通用缺陷评估系统(Common Vulnerability Scoring System,CVSS)v2 来确定漏洞产生的影响。

表 14.2. JBoss 安全补丁的严重性级别

严重性 描述
严重(Critical)
这个级别是容易被未授权的远程攻击者利用的漏洞,它可能导致系统破解(任意代码执行)而无需用户干预。这些漏洞易受蠕虫病毒利用。要求经验证的远程用户、本地用户或不太可能的配置的漏洞不会被归类于严重(Critical)影响级别。
重要(Important)
这个级别的漏洞可以轻易地破解资源的机密性、完整性或能力。这些漏洞允许本地用户获取权限,允许未验证的远程用户查看本应该被验证保护的资源、执行任意的代码,或者允许本地或远程用户导致服务拒绝问题。
中等(Moderate)
这个级别的漏洞可能更难被利用,但仍然会导致资源的机密性、完整性或能力某种程度的破解。这些漏洞可能产生严重或重要的影响,但根据技术评估,会较不容易被利用或影响不太可能的配置。
低(Low)
其他具有安全性影响的漏洞都归类于这个级别。这些漏洞在不太可能的情况下才会被利用,或者即使被利用也只会造成最小的后果。
CVSS v2 分数的影响构成基于对三个潜在影响的联合评估:Confidentiality (C)、Integrity (I) 和 Availability (A)。每种影响都评级为:None (N)、Partial (P) 或 Complete (C)。
因为 JBoss 服务器进程是以无特权的用户运行的,且和主机操作系统是隔离的,JBoss 安全漏洞只会被评级为 None(N) 或 Partial (P)。

例 14.1. CVSS v2 影响分数

下面的例子展示了一个 CVSS v2 影响分数,对漏洞的利用不会影响系统的保密性(confidentiality),部分影响系统完整性(integrity),而完全影响系统的可用性(availability)(也就是说,系统将完全无法使用,例如内核崩溃)。
C:N/I:P/A:C
综合安全性评级和 CVSS 分数,机构可以根据漏洞对每个环境产生的风险来作出决定,并相应地安排系统升级。
关于 CVSS2 的更多信息,请参考:CVSS2 Guide