Campo de prioridade em páginas CVE em http://people.ubuntu.com/~ubuntu-security/cve/CVE-XXXX

Navegue suas respostas
2

Em link , os patches de segurança para pacotes são anunciados e correlacionados com o CVE correspondente da Mitre.

Pergunto-me como a "Prioridade" está definida. Por exemplo, o exploit no pacote jdk tem um valor de base cvss v2 de 10,0 (siga o link para NVD aqui ), o mais alto possível, mas a prioridade da visão do Ubuntu é apenas "média", enquanto heartbleed com cvss v2 base de 5.0 tem prioridade de" alto ".

Esse campo de prioridade é apenas um resultado da investigação humana ou eu misturo alguma coisa?

    
por user1681285 24.04.2015 / 08:09

1 resposta

1

Há também a consideração da base instalada e do uso. O Bash está presente em praticamente todas as instalações do Ubuntu, está no centro de um número extremamente grande de scripts, enquanto o Java ... não é muito. Eu daria qualquer dia maior prioridade a uma exploração bash do que uma exploração Java. (E para ouvir as pessoas falarem disso, as explorações do Java aparecem de vez em quando de qualquer maneira.)

O Wiki da Equipe de Segurança vincula-se ao Rastreador CVE README , que descreve as prioridades: 

negligible        Something that is technically a security problem, but is
                  only theoretical in nature, requires a very special
                  situation, has almost no install base, or does no real
                  damage.  These tend not to get backport from upstreams,
                  and will likely not be included in security updates unless
                  there is an easy fix and some other issue causes an update.

low               Something that is a security problem, but is hard to
                  exploit due to environment, requires a user-assisted
                  attack, a small install base, or does very little damage.
                  These tend to be included in security updates only when
                  higher priority issues require an update, or if many
                  low priority issues have built up.

medium            Something is a real security problem, and is exploitable
                  for many people.  Includes network daemon denial of service 
                  attacks, cross-site scripting, and gaining user privileges.
                  Updates should be made soon for this priority of issue.

high              A real problem, exploitable for many people in a default
                  installation.  Includes serious remote denial of services,
                  local root privilege escalations, or data loss.

critical          A world-burning problem, exploitable for nearly all people
                  in a default installation of Ubuntu.  Includes remote root
                  privilege escalations, or massive data loss.

Nesse caso, o Shellshock era um bug que afetava um software que faz parte da instalação padrão - bash. Portanto, é alta prioridade.

Tanto quanto eu posso dizer, a prioridade é definida por pessoas durante triagem de bugs .

    
por muru 24.04.2015 / 09:31
Cairo doca problemas de inicialização no Ubuntu 15.04 Não há eventos no escopo Hoje no Ubuntu Phone