Classificação de Gravidade do Problema
Red Hat Product Security classifica o impacto dos problemas de segurança encontrados nos produtos Red Hat usando uma escala de quatro pontos (baixo, moderado, importante e crítico), bem como pontuações base do Sistema de Pontuação de Vulnerabilidade Comum (CVSS). Isso tudo fornece uma avaliação de riscos priorizada para ajudá-lo a entender e programar atualizações para os seus sistemas, permitindo que se possa tomar decisões com base em informações sobre os riscos que cada problema apresenta para o seu ambiente exclusivo.
A escala de quatro pontos informa qual é a gravidade de um problema, de acordo com a Red Hat, ajudando-o a julgar a gravidade e determinar quais são as atualizações mais importantes. A escala leva em consideração o risco potencial com base em uma análise técnica da falha exata e do seu tipo, mas não o nível de ameaça atual; uma determinada classificação não mudará se surgir uma brecha ou um worm posteriormente devido a uma falha ou se surgir uma brecha ou um worm antes da liberação de uma correção.
| Nível | Descrição |
|---|---|
| Impacto crítico | Esta classificação é dada a falhas que poderão ser facilmente exploradas por um invasor sem autenticação remoto e comprometerão o sistema (execução de código arbitrário) sem solicitar a interação do usuário. Esses são os tipos de vulnerabilidades que podem ser explorados por worms. Falhas que requerem um usuário remoto autenticado, um usuário local ou uma configuração improvável não são classificadas como impacto crítico. |
| Impacto importante | Esta classificação é dada às falhas que podem facilmente comprometer a confidencialidade, a integridade ou a disponibilidade dos recursos. Esses são os tipos de vulnerabilidades que permitem aos usuários locais ganhar privilégios, aos usuários remotos sem autenticação ver os recursos que deveriam de outra forma estar protegidos por autenticação, aos usuários remotos autenticados executar código arbitrário ou aos usuários locais ou remotos causar uma negação de serviço. |
| Impacto moderado | Esta classificação é dada a falhas que podem ser mais difíceis de explorar, mas poderão ainda causar algum comprometimento da confidencialidade, da integridade ou da disponibilidade de recursos, sob determinadas circunstâncias. Esses são os tipos de vulnerabilidades que poderiam ter causado um impacto crítico ou importante, mas são menos exploradas com facilidade com base em uma avaliação técnica da falha, ou afetariam configurações improváveis. |
| Impacto baixo | Esta classificação é dada a todos os outros problemas que causam um impacto na segurança. Esses são os tipos de vulnerabilidades que requerem circunstâncias improváveis para que elas possam ser exploradas ou são casos em que uma exploração bem-sucedida traria consequências mínimas. |
Um aviso de segurança da Red Hat pode conter correções para mais de uma vulnerabilidade e pacotes para mais de um produto (como Red Hat Enterprise Linux 5 e 6). Cada problema em um aviso tem uma classificação de impacto para cada produto. A gravidade geral de um aviso é a mais alta entre todos os problemas individuais, em todos os produtos a que o aviso se destina. Para fins de simplicidade, os avisos mostram apenas a gravidade geral (exceto para avisos de kernel, que listam a gravidade de cada problema). Os avisos contêm links para as entradas relevantes no sistema de rastreamento de bugs da Red Hat, em que você pode examinar impactos individuais e comentários adicionais.
Quando uma tecnologia - ativada e muito provavelmente usada por padrão - bloquear completamente a exploração de uma determinada vulnerabilidade em todas as arquiteturas, ajustaremos o nível de gravidade. Quando uma tecnologia reduzir o risco de uma vulnerabilidade, poderemos ajustar o nível de gravidade e dar uma explicação da decisão na entrada de rastreamento de bugs.
Sistema de Pontuação de Vulnerabilidade Comum (CVSS)
As pontuações base do Sistema de Pontuação de Vulnerabilidade Comum (CVSS) apresentam uma classificação de gravidade detalhada pontuando os aspectos constantes de uma vulnerabilidade: Vetor de Acesso, Complexidade de Acesso, Autenticação, Confidencialidade, Integridade e Disponibilidade.
As métricas base da versão 2 do CVSS estão disponíveis para todas as vulnerabilidades de 2009 em diante e também para as vulnerabilidades anteriores selecionadas. Essas pontuações são encontradas nas páginas por CVE (vinculadas a partir da seção Referências de cada Aviso de Segurança da Red Hat) e também da página Medição de Segurança.
Métricas base da versão 2 do CVSS
O grupo de métricas base da versão 2 do CVSS aborda os aspectos constantes de uma vulnerabilidade:
- Vetor de Acesso (AV): como a vulnerabilidade é acessada. Por exemplo, se o acesso local a um sistema é necessário ou se a vulnerabilidade pode ser explorada remotamente através de uma rede.
- Complexidade de Acesso (AC): condições extras necessárias para acionar a vulnerabilidade. Por exemplo, uma configuração incomum pode ser necessária.
- Autenticação (Au): qual autenticação, se houver, um invasor requer.
- Confidencialidade (C): o risco de um vazamento de informações se a vulnerabilidade for explorada.
- Integridade (I): o risco de um invasor modificar os dados em um sistema se a vulnerabilidade for explorada.
- Disponibilidade (A): o risco de um invasor causar uma negação de serviço se a vulnerabilidade for explorada.
Uma fórmula converte essas medições em uma pontuação base numérica única, variando de 0,0 (nenhum risco) a 10,0 (risco mais alto). Consulte Um Guia Completo para o Sistema de Pontuação de Vulnerabilidade Comum Versão 2.0 para descrições detalhadas das métricas base.
Como a Red Hat usa as métricas base da versão 2 do CVSS
Nossa meta é estar em conformidade com o padrão CVSS versão 2 ao alocar as pontuações base. Há circunstâncias em que pode não estar óbvio por que uma determinada pontuação foi escolhida. A seguir, alguns tipos de vulnerabilidade comuns com nossa interpretação e a pontuação típica:
Bibliotecas
Nem sempre é possível saber como aplicativos de terceiros usam bibliotecas, ficando mais difícil apresentar métricas base precisas da versão 2 do CVSS para falhas nas bibliotecas de sistema. Ao classificar essas falhas, levamos em consideração a forma como a biblioteca é usada pelos aplicativos que vendemos, mas também observamos outros softwares conhecidos que podem usar a biblioteca de uma forma que faça um problema ser de gravidade maior e ajustamos a pontuação apropriadamente.
Navegadores (e plug-ins associados)
Existe uma classe de falhas em navegadores e seus plug-ins que podem permitir que uma página da Web maliciosa execute código arbitrário quando a vítima acessa a página. Classificamos essas falhas como tendo gravidade crítica, embora elas precisem de alguma interação do usuário. A classificação desses problemas com o uso da versão 2 do CVSS resulta em uma pontuação base igual a 6,8 (por exemplo, CVE-2009-1313). Como o desktop está em execução como um usuário sem privilégios, os impactos à Confidencialidade, à Integridade e à Disponibilidade da versão 2 do CVSS são classificados como Parcial e não Completo.
Outras pontuações comuns
As falhas em que um usuário local sem privilégios pode ocasionar o travamento de um kernel (negação de serviço) geralmente recebem a pontuação 4,9 (po exemplo, CVE-2009-1758).
As falhas em que um usuário local sem privilégios escala seus privilégios para encaminhamento geralmente recebem a pontuação 7,2 (por exemplo, CVE-2008-5182).
As falhas de scripts entre sites são geralmente pontuadas como tendo uma perda parcial de Integridade, sem nenhuma perda de Confidencialidade ou Disponibilidade, alinhadas com a pontuação de outros fornecedores e NVD. Uma pontuação típica para essas falhas é 4,3 (por exemplo, CVE-2009-0153).
Variações de pontuação base entre produtos
É comum para uma vulnerabilidade CVE ter diferentes métricas base da versão 2 do CVSS, dependendo da versão do produto e da arquitetura. Exemplos disso são:
- Uma vulnerabilidade que afetou apenas algumas arquiteturas. Por exemplo, CVE-2007-6694 afetou apenas PowerPC.
- Uma vulnerabilidade que é atenuada por mecanismos de proteção do código-fonte em algumas plataformas. Por exemplo, CVE-2009-1252 poderia ter levado à execução de código arbitrário no Red Hat Enterprise Linux 4, mas é somente uma negação de serviço no Red Hat Enterprise Linux 5.
- Uma vulnerabilidade que afetou mais de um aplicativo. Por exemplo CVE-2009-0352 afetou o Firefox (navegador) e o Thunderbird (leitor de e-mails), mas teve uma pontuação e uma gravidade menores do CVSS para Thunderbird.
Se as pontuações base da versão 2 do CVSS forem significativamente diferentes entre os produtos, elas serão fornecidas separadamente sempre que possível. Se não dividirmos a pontuação, informaremos a métrica que oferece a pontuação base da versão 2 do CVSS mais alta (o pior resultado do caso).
Diferenças entre a pontuação NVD e Red Hat
Para softwares de código aberto comercializados por vários fornecedores, as pontuações base da versão 2 do CVSS podem variar para cada versão do fornecedor, dependendo da versão que comercializam, como a comercializam, da plataforma e até mesmo como o software é compilado. Com isso, fica mais difícil pontuar as vulnerabilidades de bancos de dados de terceiros, como NVD, sendo possível atribuir apenas uma única pontuação base da versão 2 do CVSS a cada vulnerabilidade.
Essas diferenças podem fazer as pontuações variar bastante. Por exemplo, NVD classifica as falhas do Firefox como tendo métricas de impacto Completo, porque o aplicativo Firefox está também disponível para o Microsoft Windows, situação em que é comum o usuário executar o Firefox com privilégios de administrador. Para o Red Hat Enterprise Linux, usamos métricas de impacto Parcial, visto que é muito provável que o Firefox seja executado como um usuário sem privilégios.
Red Hat cria pontuações CVSSv2 com relação á Red Hat ou ao produto Red Hat JBoss por completo, não com relação a um componente individual que pertence ao produto. Este é o motivo pelo qual é possível a ocorrência de diferenças entre as pontuações Red Hat e NVD ou pontuações de upstream. Por exemplo, caso haja uma falha de negação de serviço no Apache, a pontuação de upstream será A:C (perda completa da disponibilidade), devido ao fato de seu produto ser httpd. A pontuação da Red Hat seria A:P (perda parcial de disponibilidade), pois o sistema operacional subjacente (nosso produto) ainda está disponível, ao passo que apenas um serviço está indisponível. A Red Hat somente usa A:C quando há falhas que tornam o sistema inteiro indisponível (falhas típicas de kernel).
Por esses motivos, recomendamos que, sempre que possível, você use uma pontuação base do CVSS fornecida pela Red Hat em vez de uma pontuação de terceiros. Informe-nos se achar que recebeu uma pontuação base incorreta da versão 2 do CVSS para uma determinada vulnerabilidade. Ficamos contentes por abordar o assunto da gravidade e criar uma atualização, se ela for necessária.
