Classificazione della gravità del problema
Red Hat Product Security classifica l'impatto dei problemi di sicurezza riscontrati nei prodotti Red Hat, utilizzando una scala da 1 a 4 (basso, moderato, importante, critico) nonché il punteggio di base del sistema CVSS (Common Vulnerability Scoring System). Ciò fornisce una valutazione dei rischi in base alla priorità, aiutandoti a comprendere e a programmare gli aggiornamenti dei tuoi sistemi e a prendere decisioni informate sul rischio che ciascun problema può generare nel tuo ambiente.
La scala di quattro punti indica la gravità assegnata al problema da parte di Red Hat, consentendoti di valutarla e determinare quali sono gli aggiornamenti più importanti da effettuare. La scala prende in considerazione il rischio potenziale in base ad un'analisi dettagliata degli aspetti tecnici del difetto, senza però considerare il livello di rischio; la classificazione non cambierà se exploit o worm vengono rilasciati in un secondo momento o se sono già disponibili prima del rilascio della correzione.
| Livello | Descrizione |
|---|---|
| Impatto critico | Questa classificazione viene assegnata ai difetti che sono più facilmente esposti ad attacchi remoti non autenticati e che compromettono il sistema (esecuzione arbitraria di codice) senza richiedere l'interazione da parte dell'utente. Questo tipo di vulnerabilità può essere sfruttata da worm. I difetti che richiedono un utente remoto autenticato o configurazioni improbabili, non sono classificati come difetti critici. |
| Impatto importante | Questa classificazione viene assegnata ai difetti che possono facilmente compromettere la riservatezza, l'integrità o la disponibilità delle risorse. Questo tipo di vulnerabilità consente agli utenti locali di ottenere privilegi, agli utenti remoti non autenticati di visualizzare le risorse che dovrebbero altrimenti essere protette da autenticazione, agli utenti remoti autenticati di eseguire il codice arbitrario o agli utenti remoti e locali di provocare il rifiuto di servizi. |
| Impatto moderato | Questa classificazione viene assegnata ai difetti che possono essere più difficili da sfruttare ma che, in determinate circostanze, potrebbero comunque compromettere la riservatezza, l'integrità o la disponibilità delle risorse. Questo tipo di vulnerabilità potrebbe avere un impatto critico o importante ma può essere meno sfruttato sulla base di una valutazione tecnica del difetto o interessare configurazioni improbabili. |
| Impatto basso | Questa classificazione viene assegnata a tutti gli altri problemi che interessano la sicurezza. Si ritiene che questo tipo di vulnerabilità richieda circostanze improbabili per essere sfruttato, con conseguenze minime. |
Un advisory sulla sicurezza di Red Hat può contenere correzioni per più vulnerabilità e pacchetti per più prodotti (come Red Hat Enterprise Linux 5 e 6). Ogni problema presente nell'advisory viene classificato per l'impatto che può generare su ciascun prodotto. La gravità complessiva di un advisory è la gravità massima rispetto a tutti i singoli problemi, in tutti i prodotti ai quali l'advisory è destinato. Per maggiore semplicità, gli advisory mostrano solamente la gravità complessiva (ad eccezione degli advisory sul kernel che riportano la severità di ciascun problema). Gli advisory contengono collegamenti alle voci importanti del sistema di Red Hat per la tracciabilità dei bug, in cui è possibile esaminare gli impatti a livello individuale e accedere a commenti aggiuntivi.
Quando una tecnologia, attivata o utilizzata per impostazione predefinita, blocca completamente lo sfruttamento di una particolare vulnerabilità in tutte le architetture, Red Hat modificherà il livello di severità. Quando una tecnologia riduce il rischio di una vulnerabilità, Red Hat può modificare il livello di severità e fornire una spiegazione sulla decisione nella voce della tracciabilità del bug.
Common Vulnerability Scoring System (CVSS)
Il punteggio di base del sistema CVSS (Common Vulnerability Scoring System) fornisce una classificazione dettagliata della severità, assegnando un punteggio agli aspetti ricorrenti di una vulnerabilità: vettore di accesso, complessità di accesso, autenticazione, riservatezza, integrità e disponibilità.
Le metriche di base del sistema CVSS versione 2 sono disponibili per tutte le vulnerabilità a partire dal 2009, nonchè per quelle selezionate di recente.. I punteggi sono disponibili nelle pagine per CVE (accessibili tramite collegamento dalla sezione dei riferimenti di ciascun advisory sulla sicurezza di Red Hat) e nella pagina relativa alle misure di sicurezza.
Metriche di base di CVSS v2
Il gruppo di metriche di base di CVSS v2 riguarda gli aspetti ricorrenti di una vulnerabilità:
- Vettore di accesso (AV): la modalità di accesso alla vulnerabilità. Ad esempio, se è richiesto l'accesso locale al sistema o se la vulnerabilità può essere sfruttata da remoto attraverso una rete.
- Complessità di accesso (AC): condizioni straordinarie richieste per attivare la vulnerabilità. Ad esempio, potrebbe essere richiesta una configurazione non comune.
- Autenticazione (Au): quale autenticazione è eventualmente richiesta all'autore dell'attacco.
- Riservatezza (C): il rischio di perdita di informazioni nel caso la vulnerabilità venga sfruttata.
- Integrità (I): il rischio che l'autore di un attacco modifichi i dati di un sistema nel caso la vulnerabilità venga sfruttata.
- Disponibilità (A): il rischio che l'autore di un attacco provochi il rifiuto di un servizio nel caso la vulnerabilità venga sfruttata.
Una formula traduce tali misure in un unico punteggio numerico di base, con valori che va oscillano da 0.0 (nessun rischio) a 10.0 (rischio massimo). Fare riferimento al documento A Complete Guide to the Common Vulnerability Scoring System Version 2.0 per una descrizione dettagliata delle metriche di base.
In che modo CVSS v2 di Red Hat utilizza le metriche di base
Il nostro obiettivo è di essere conformi agli standard del sistema CVSS v2 nell'assegnazione dei punteggi di base. Possono presentarsi circostanze in cui potrebbe non essere ovvio il motivo della scelta di un particolare punteggio. Di seguito mostriamo alcuni tipi comuni di vulnerabilità associati all'interpretazione e al punteggio tipico da noi assegnato:
Librerie
Non sempre è possibile sapere il modo in cui le applicazioni di terze parti utilizzino le librerie. Ciò rende difficile assegnare le metriche di base di CVSS v2 in modo accurato ai difetti relativi alle librerie di sistema. Per la classificazione di questi difetti, prendiamo in considerazione il modo in cui la libreria viene utilizzata dalle applicazioni che forniamo, ma consideriamo anche altri software affermati che possono utilizzare la libreria in modo che provochi problemi di gravità maggiore, adattando il punteggio in modo appropriato.
Browser Web (e plug-in associati)
I browser Web presentano una classe di difetti con i relativi plug-in che consentono a pagine Web dannose di eseguire il codice arbitrario quando la vittima accede alla pagina. Benché non richiedano l'interazione da parte dell'utente, classifichiamo questi difetti assegnando una gravità critica. La classificazione di questi problemi tramite il sistema CVSS v2 fornisce un punteggio di base pari a 6.8 (ad esempio CVE-2009-1313). Poiché il desktop viene eseguito come un utente senza privilegi, CVSS v2 classifica gli impatti sulla riservatezza, l'integrità e la disponibilità come parziali e incompleti.
Altri punteggi comuni
I difetti per i quali un utente locale senza privilegi può provocare il crash di un kernel (rifiuto del servizio) registrano solitamente un punteggio pari a 4.9 (ad esempio CVE-2009-1758).
I difetti per i quali un utente locale senza privilegi può aumentare i propri privilegi, di solito registrano un punteggio pari a 7.2 (ad esempio CVE-2008-5182).
I difetti di script da altri siti vengono generalmente classificati come se causassero una perdita parziale dell'integrità e nessuna perdita di riservatezza o disponibilità, in linea con la classificazione fornita da altri fornitori e da NVD. Il punteggio tipico di questi difetti è di 4.3 (ad esempio CVE-2009-0153).
Variazioni del punteggio di base tra i vari prodotti
Per una determinata vulnerabilità definita come CVE, è comune avere diverse metriche di base del CVSS v2, a seconda del prodotto, della versione e dell'architettura. Alcuni esempi di queste vulnerabilità includono:
- Una vulnerabilità che interessa solo alcune architetture. Ad esempio, CVE-2007-6694 interessa solo PowerPC.
- Una vulnerabilità mitigata da meccanismi di protezione del codice sorgente su alcune piattaforme. Ad esempio, CVE-2009-1252 potrebbe aver condotto all'esecuzione del codice arbitrario su Red Hat Linux 4 ma solamente al rifiuto del servizio su Red Hat Enterprise Linux 5.
- Una vulnerabilità che interessa più di un'applicazione. Ad esempio, CVE-2009-0352 interessa sia Firefox (Browser Web) che Thunderbird (mail reader), ma ha un punteggio e una gravità CVSS inferiore per Thunderbird.
Se i punteggi CVSS v2 di base variano in modo significativo tra i vari prodotti, quando possibile Red Hat li assegna separatamente. Se il punteggio non viene diviso, riportiamo la metrica che assegna il massimo punteggio CVSS v2 di base (risultato peggiore).
Differenze tra i punteggi di NVD e Red Hat
Per i software open source forniti da più fornitori, i punteggi CVSS v2 di base possono variare per ciascuna versione, a seconda del tipo di versione fornita, la modalità di fornitura, la piattaforma e persino la modalità di compilazione del software Ciò rende difficile la classificazione da parte dei database di terze parti sulla vulnerabilità, come NVD, in quanto possono assegnare un solo punteggio CVSS v2 di base a ciascuna vulnerabilità.
Tali differenze fanno sì che i punteggi varino in modo sostanziale. Ad esempio, NVD classifica i difetti di Firefox come difetti con impatto completo poiché l'applicazione Firefox è disponibile anche per Microsoft Windows, in cui è comune che l'utente esegua Firefox con privilegi di amministratore. Per Red Hat Enterprise Linux, Red Hat utilizza le metriche di impatto parziale in quanto è probabile che Firefox venga eseguito come utente senza privilegi.
Red Hat calcola punteggi CVSSv2 basati sull'intero prodotto Red Hat o Red Hat JBoss e non su un singolo componente all'interno del prodotto. Ecco perché può capitare di notare spesso delle differenze tra i punteggi Red Hat e i punteggi NVD o upstream. Ad esempio, in caso di rifiuto del servizio per difetti di Apache, il punteggio upstream potrebbe essere A:C (perdita completa di disponibilitá), in quanto il prodotto è httpd. Red Hat calcola il punteggio A:P (perdita parziale della disponibilitá), in quanto il sistema operativo di base (il nostro prodotto) è comunque disponibile, mentre la perdita di disponibilitá riguarda un solo servizio. Red Hat considera il punteggio A:C solo per difetti che renderebbero l'intero sistema non disponibile (generalmente difetti del kernel).
Per questi motivi, consigliamo, quando possibile, di utilizzare un punteggio CVSS di base fornito da Red Hat piuttosto che un punteggio fornito da terze parti. Contattaci per comunicarci se ritieni che Red Hat abbia assegnato un punteggio CVSS v2 di base non corretto ad una particolare vulnerabilità. Saremo felici di confrontarci con te sulla severità assegnata e, se necessario, provvederemo a modificarla.
