Clasificación de gravedad
Cómo entender la clasificación de gravedad Red Hat
Red Hat Product Security clasifica el impacto de problemas de seguridad encontrados en los productos de Red Hat,en una escala de cuatro puntos: Bajo, Moderado, Importante y Crítico, al igual que el sistema base de clasificación Common Vulnerability Scoring System (CVSS). Esta clasificación proporciona una evaluación de riesgo por prioridades para ayudar a entender y programar las actualizaciones a sus sistemas, permitiéndole tomar decisiones informadas sobre el riesgo que cada problema presenta en su entorno inidvidual.
La escala de cuatro puntos informa sobre la importancia que otorga Red Hat a un problema, lo cual le ayuda a juzgar la gravedad y a determinar cuáles son las actualizaciones más importantes. La escala tiene en cuenta el riesgo potencial según el análisis técnico del fallo y de su tipo exacto, pero no el nivel actual de la amenaza; la clasificación no cambiará si se aprovecha una vulnerabilidad o 'worm' para atacar después de ese fallo o si está presente antes de lanzar el correctivo.
| Clasificación de gravedad | Descripción | |
|---|---|---|
| Impacto crítico | Esta calificación se otorga a los fallos que podría aprovechar fácilmente un atacante no autenticado y llegar a comprometer el sistema (ejecución de código arbitrario) sin interacción por parte del usuario. Son los tipos de vulnerabilidades que pueden ser aprovechados por 'worms'. Los fallos que precisan un usuario remoto autenticado, un usuario local o una configuración poco probable no se clasifican como de impacto crítico. | |
| Impacto importante | Esta calificación se otorga a los fallos que podrían comprometer fácilmente la confidencialidad, integridad o disponibilidad de los recursos. Son los tipos de vulnerabilidades que permiten a los usuarios locales obtener privilegios, a los usuarios remotos disponer de recursos que de otra manera estarían protegidos por autenticación; a los usuarios remotos ejecutar código arbitrario, o que los usuarios remotos o locales puedan provocar una denegación de servicio. | |
| Impacto moderado | Esta calificación se otorga a los fallos que, aún siendo más difíciles de aprovechar, pueden seguir comprometiendo la confidencialidad, integridad o disponibilidad de los recursos en determinadas circunstancias. Se trata de los tipos de vulnerabilidades que podrían tener un impacto crítico o importante, pero que son más difíciles de aprovechar conforme a una evaluación técnica del fallo o que afectan a configuraciones poco probables. | |
| Impacto bajo | Esta calificación se otorga al resto de problemas que producen un impacto de seguridad. Son los tipos de vulnerabilidades de los que se considera que su aprovechamiento exige unas circunstancias poco probables o que tendría consecuencias mínimas. |
Una notificación o recomendación de seguridad de Red Hat puede incluir correcciones para más de una vulnerabilidad y paquetes para más de un producto (tales como Red Hat Enterprise Linux 5 y 6). Cada lanzamiento de una recomendación tiene una calificación de impacto para cada producto. La gravedad general de una recomendación es la gravedad más alta de todos los problemas individuales, a través de todos los productos a los que va dirigida. Por cuestiones de simplicidad, las recomendaciones muestran únicamente la gravedad general (a excepción de las notificaciones de kernel que listan la gravedad de cada problema). Las recomendaciones incluyen enlaces a las entradas relevantes del sistema de seguimiento de errores de Red Hat, donde usted puede examinar el impactos concreto y los comentarios adicionales.
Cuando una tecnología —habilitada y seguramente utilizada de forma predeterminada— bloquee por completo el aprovechamiento de una vulnerabilidad en todas las arquitecturas, ajustaremos el nivel de gravedad. Cuando una tecnología reduzca el riesgo de una vulnerabilidad, ajustaremos el nivel de gravedad y ofreceremos una explicación de la decisión en la entrada del seguimiento del error.
Common Vulnerability Scoring System (CVSS)
La puntuación CVSS (Common Vulnerability Scoring System) provee una guía adicional sobre una vulnerabilidad, otorgando una calificación de gravedad detallada por puntuación de los aspectos constantes de una vulnerabilidad: Vector de acceso, complejidad de acceso, autenticación, confidencialidad, integridad y disponibilidad.
La versión 2 de la métrica base de CVSS está disponible para todas las vulnerabilidades desde 2009 y para algunas anteriores. En 2016, Red Hat adoptó el estándar CVSS v3 y de ahí en adelante todas las vulnerabilidades usarán la versión 3 para la puntuación. Estas puntuaciones se encuentran en las páginas CVE (vinculadas a la sección de Referencias de cada Red Hat Security Advisory) y también desde nuestra página Security Measurements [Mediciones de seguridad].
Esta información es muy útil, pero Red Hat no utiliza únicamente la puntuación CVSS para determinar la prioridad con la cual se fijan los fallos. Se utiliza como una guía para identificar la métrica clave de un fallo, pero la prioridad para la cual se fijan los fallos se determina por el impacto general del fallo mediante la escala de cuatro puntos mencionada anteriormente.
Métrica de base CVSS v3
El grupo de métrica de base CVSS v3 cubre los aspectos constantes de una vulnerabilidad:
- Vector de ataque (AV) - Expresa qué tan remoto es el ataque y cómo se aprovecha la vulnerabilidad.
- Complejidad de ataque (AC) - Dice qué tan difícil de ejecutar es el ataque y qué factores se requieren para realizarlo. (La métrica anterior sobre Complejidad de acceso se divide ahora en Complejidad de ataque e Interacción de usuario.).
- Interacción de usuario (UI) - Determina si el ataque requiere un ser humano activo para participar o si puede ser automatizado.
- Privilegios requeridos (PR) - Documenta el nivel del autenticación de usuario requerido para atacar (remplaza la métrica de autenticación anterior).
- Alcance (S) - Determina si el atacante puede afectar un componente que tenga un nivel de autoridad diferente.
- Confidencialidad (C) - Determina si se puede revelar la información a partes no autorizadas y si es así, en que nivel.
- Integridad (I) - Mide qué tan confiable es la información y qué tanto se puede confiar en que no va a ser modificada por usuarios no autorizados.
- Disponibilidad (A) - Esta métrica tiene que ver con los datos y servicios a los que usuarios autorizados pueden acceder cuando lo requieran.
Una fórmula convierte estas medidas en una puntuación numérica única que va de 0.0 (sin riesgo) a 10.0 (riesgo máximo). Consulte Common Vulnerability Scoring System v3.0: User Guide para obtener una descripción detallada de la métrica de base.
Cómo utiliza Red Hat la métrica base de CVSS v3
Cuando asignamos puntuaciones de base, nuestro objetivo es cumplir con el estándar de CVSSv3. En algunas circunstancias puede que no resulte obvio por qué se ha elegido una puntuación en particular. A continuación relacionamos algunos tipos de vulnerabilidades comunes con nuestra interpretación y puntaje típicos:
Bibliotecas
No siempre es posible saber de qué forma las aplicaciones de terceros utilizan las bibliotecas, lo cual dificulta la asignación precisa de una métrica base CVSS v3 para los fallos en las bibliotecas del sistema. Al otorgar la puntuación de estos fallos, no solamente tenemos en cuenta la forma como las aplicaciones que distribuimos utilizan la biblioteca, sino también los otros software populares que utilicen la biblioteca de un modo tal que puedan agravar el problema.
Navegadores Web (y plug-ins asociados)
Hay una clase de fallos en navegadores web y sus plug-ins que puede permitir que una página web maliciosa ejecute código arbitrario cuando la víctima accede a la página. Calificamos estos fallos como de gravedad Crítica, aunque precisan cierta interacción de usuario. La puntuación de estos problemas mediante CVSS v3 otorga una puntuación de 6.3 (por ejemplo, CVE-2016-1953) con la métrica de base de CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L. Puesto que el escritorio se ejecuta como usuario sin privilegios, los impactos de confidencialidad, integridad y disponibilidad según CVSS v3 se califican como Bajos o No Altos.
Otras puntuaciones comunes
Los fallos que permiten que un usuario local sin privilegios pueda provocar la caída de un kernel (denegación de servicio) normalmente tienen una puntuación de 6.2 (por ejemplo CVE-2014-8173).
Los fallos que permiten que un usuario local sin privilegios escale a privilegios de usuario root normalmente tienen una puntuación de 8.4 (por ejemplo CVE-2014-9322).
Los fallos de scripts entre sitios reciben, por lo general, una puntuación de bajo impacto a Integridad y de no impacto a Confidencialidad o Disponibilidad, en consonancia con los criterios de otros proveedores y NVD. Una puntuación típica de esos fallos es 6.1 (por ejemplo, CVE-2009-0153).
Variación de puntuaciones de base entre productos
Es normal que una determinada vulnerabilidad denominada CVE tenga distinta métrica base de CVSS, según el producto, la versión y la arquitectura. Por ejemplo:
- Una vulnerabilidad que únicamente afectó algunas arquitecturas. Por ejemplo, CVE-2007-6694 únicamente afectó a PowerPC.
- Una vulnerabilidad que sea mitigada por mecanismos de protección del código fuente de algunas plataformas. Por ejemplo, CVE-2009-1252 pudo haber conducido a una ejecución de código arbitraria en Red Hat Enterprise Linux 4, mientras que en Red Hat Enterprise Linux 5 solo produciría una denegación del servicio.
- Una vulnerabilidad que afecte a más de una aplicación. Por ejemplo,CVE-2009-0352 afectó tanto a Firefox (navegador de web), como a Thunderbird (lector de correo electrónico),pero la puntuación CVSS y la gravedad fueron inferiores en el caso de Thunderbird.
Si las puntuaciones de base CVSS v3 son notablemente distintas a través de productos, los proporcionamos por separado siempre que ses posible. Si no separamos las puntuaciones, reportamos la métrica que otorga la puntuación de base más alto de CVSS v3 (el peor caso).
Diferencia entre las puntuaciones NVD y Red Hat
Para el software de código abierto que suministran varios proveedores, la puntuación de base de CVSS puede variar con la versión de cada proveedor, dependiendo de la versión que suministren, cómo la suministren, la plataforma e incluso el modo de compilar el software. Esto dificulta la clasificación de las bases de datos de vulnerabilidad de terceros, tales como NVD, que solamente puede otorgar una puntuación individual base de CVSS para cada vulnerabilidad.
Estas diferencias pueden provocar que las puntuaciones discrepen en gran medida. Por ejemplo, NVD califica los fallos de la aplicación Firefox con una métrica de Alto impacto, puesto que la aplicación Firefox también está disponible para Microsoft Windows, donde es común que el usuario ejecute Firefox con privilegios de administrador. Para Red Hat Enterprise Linux, utilizamos una métrica de impacto bajo,ya que es más probable que Firefox sea ejecutado por un usuario sin privilegios.
Por estos motivos, recomendamos que, siempre que sea posible, utilice la puntuación base de CVSS que proporciona Red Hat en lugar de la puntuación de un tercero. Si considera que la puntuación de base de CVSS v3 no es correcto para una vulnerabilidad determinada, por favor háganoslo saber para poder analizar la gravedad y actualizarla en caso necesario.
