http://www.xfocus.net

一、綜述

弱點(diǎn)（vulnerabilities）是網(wǎng)絡(luò)安全中的一個(gè)重要因素，在多種安全產(chǎn)品（如漏洞掃描、入侵檢測(cè)、防病毒、補(bǔ)丁管理等）中涉及到對(duì)弱點(diǎn)及其可 能造成的影響的評(píng)價(jià)。但目前業(yè)界并沒有通用統(tǒng)一的評(píng)價(jià)體系標(biāo)準(zhǔn)。通用弱點(diǎn)評(píng)價(jià)體系（CVSS）是由NIAC開發(fā)、FIRST維護(hù)的一個(gè)開放并且能夠被產(chǎn)品 廠商免費(fèi)采用的標(biāo)準(zhǔn)。利用該標(biāo)準(zhǔn)，可以對(duì)弱點(diǎn)進(jìn)行評(píng)分，進(jìn)而幫助我們判斷修復(fù)不同弱點(diǎn)的優(yōu)先等級(jí)。

二、通用弱點(diǎn)評(píng)價(jià)體系（CVSS）

2.1 CVSS的要素

通過下圖可以看出通用弱點(diǎn)評(píng)價(jià)體系（CVSS）包含的要素及它們之間的相互關(guān)系：

CVSS-model-detailed-8.0.jpg

通用弱點(diǎn)評(píng)價(jià)體系（CVSS）的所有要素及其取值范圍如下表所示：

CVSS-metric.jpg

有些需要說明的要素如下：

1、如果漏洞既可遠(yuǎn)程利用，又可以本地利用，取值應(yīng)該為遠(yuǎn)程利用的分值。
2、攻擊復(fù)雜度的分值由原先的低/高變?yōu)榈?中/高，參見： http://www.first.org/cvss/draft/accepted/060103.html
3、需要認(rèn)證的例子，如需要預(yù)先有Email、FTP帳號(hào)等。

有些有用的參考資源如下：

CVSS評(píng)分計(jì)算器： http://nvd.nist.gov/cvss.cfm?calculator
CVSS的最近更新： http://www.first.org/cvss/draft/
一些文檔及膠片： http://www.first.org/cvss/links.html

2.2 CVSS評(píng)分方法

2.2.1 基本評(píng)價(jià)
基本評(píng)價(jià)指的是該漏洞本身固有的一些特點(diǎn)及這些特點(diǎn)可能造成的影響的評(píng)價(jià)分值，該分值取值如下：

AccessVector???? = case AccessVector of
????????????????????????local:????????????0.7
????????????????????????remote:?????????? 1.0
????????????????????????
AccessComplexity = case AccessComplexity of
????????????????????????high:???????????? 0.6
????????????????????????medium:?????????? 0.8
????????????????????????low:??????????????1.0
????????????????????????????
Authentication?? = case Authentication of
????????????????????????required:???????? 0.6
????????????????????????not-required:???? 1.0
????????????????????????????
ConfImpact?????? = case ConfidentialityImpact of
????????????????????????none:???????????? 0
????????????????????????partial:??????????0.7
????????????????????????complete:???????? 1.0
????????????????????????????
ConfImpactBias?? = case ImpactBias of
????????????????????????normal:?????????? 0.333
????????????????????????confidentiality:??0.5
????????????????????????integrity:????????0.25
????????????????????????availability:???? 0.25
????????????????????????????
IntegImpact??????= case IntegrityImpact of
????????????????????????none:???????????? 0
????????????????????????partial:??????????0.7
????????????????????????complete:???????? 1.0
????????????????????????????
IntegImpactBias??= case ImpactBias of
????????????????????????normal:?????????? 0.333
????????????????????????confidentiality:??0.25
????????????????????????integrity:????????0.5
????????????????????????availability:???? 0.25
????????????????????????????
AvailImpact??????= case AvailabilityImpact of
????????????????????????none:???????????? 0
????????????????????????partial:??????????0.7
????????????????????????complete:???????? 1.0
????????????????????????????
AvailImpactBias??= case ImpactBias of
????????????????????????normal:?????????? 0.333
????????????????????????confidentiality:??0.25
????????????????????????integrity:????????0.25
????????????????????????availability:???? 0.5

BaseScore = round_to_1_decimal(10 * AccessVector
??????????????????????????????????* AccessComplexity
??????????????????????????????????* Authentication
??????????????????????????????????* ((ConfImpact * ConfImpactBias)
??????????????????????????????????+ (IntegImpact * IntegImpactBias)
??????????????????????????????????+ (AvailImpact * AvailImpactBias)))

2.2.2 生命周期評(píng)價(jià)
因?yàn)槁┒赐瑫r(shí)間是有緊密關(guān)聯(lián)的，因此這里也列舉出三個(gè)與時(shí)間緊密關(guān)聯(lián)的要素如下：

Exploitability?? = case Exploitability of
????????????????????????unproven:???????????? 0.85
????????????????????????proof-of-concept:???? 0.9
????????????????????????functional:?????????? 0.95
????????????????????????high:???????????????? 1.00
????????????????????????
RemediationLevel = case RemediationLevel of
????????????????????????official-fix:???????? 0.87
????????????????????????temporary-fix:????????0.90
????????????????????????workaround:?????????? 0.95
????????????????????????unavailable:??????????1.00
????????????????????????
ReportConfidence = case ReportConfidence of
????????????????????????unconfirmed:??????????0.90
????????????????????????uncorroborated:?????? 0.95??????
????????????????????????confirmed:????????????1.00

TemporalScore = round_to_1_decimal(BaseScore * Exploitability
???????????????????????????????????????????? * RemediationLevel
???????????????????????????????????????????? * ReportConfidence)

2.2.3 環(huán)境評(píng)價(jià)
每個(gè)漏洞會(huì)造成的影響大小都與用戶自身的實(shí)際環(huán)境密不可分，因此可選項(xiàng)中也包括了環(huán)境評(píng)價(jià)，這可以由用戶自評(píng)。

CollateralDamagePotential = case CollateralDamagePotential of
???????????????????????????????? none:????????????0
???????????????????????????????? low:???????????? 0.1
???????????????????????????????? medium:??????????0.3??
???????????????????????????????? high:????????????0.5??????
????????????????????????????????
TargetDistribution????????= case TargetDistribution of
???????????????????????????????? none:????????????0
???????????????????????????????? low:???????????? 0.25
???????????????????????????????? medium:??????????0.75
???????????????????????????????? high:????????????1.00

EnvironmentalScore = round_to_1_decimal((TemporalScore + ((10 - TemporalScore)
???????????????????????????????????????? * CollateralDamagePotential))
???????????????????????????????????????? * TargetDistribution)

三、示例

3.1 一個(gè)漏洞的評(píng)分實(shí)例

這個(gè)例子是Apache Web Server分塊編碼遠(yuǎn)程溢出漏洞，該漏洞的描述為（參考 http://www.nsfocus.net/vulndb/2975）：

Apache在處理以分塊(chunked)方式傳輸數(shù)據(jù)的HTTP請(qǐng)求時(shí)存在設(shè)計(jì)漏洞，遠(yuǎn)程攻擊者可能利用此漏洞在某些Apache服務(wù)器上以Web服務(wù)器進(jìn)程的權(quán)限執(zhí)行任意指令或進(jìn)行拒絕服務(wù)攻擊。

分塊編碼(chunked encoding)傳輸方式是HTTP 1.1協(xié)議中定義的Web用戶向服務(wù)器提交數(shù)據(jù)的一種方法，當(dāng)服務(wù)器收到chunked編碼方式的數(shù)據(jù)時(shí)會(huì)分配一個(gè)緩沖區(qū)存放之，如果提交的數(shù)據(jù)大小未 知，客戶端會(huì)以一個(gè)協(xié)商好的分塊大小向服務(wù)器提交數(shù)據(jù)。

Apache服務(wù)器缺省也提供了對(duì)分塊編碼(chunked encoding)支持。Apache使用了一個(gè)有符號(hào)變量?jī)?chǔ)存分塊長(zhǎng)度，同時(shí)分配了一個(gè)固定大小的堆棧緩沖區(qū)來儲(chǔ)存分塊數(shù)據(jù)。出于安全考慮，在將分塊數(shù) 據(jù)拷貝到緩沖區(qū)之前，Apache會(huì)對(duì)分塊長(zhǎng)度進(jìn)行檢查，如果分塊長(zhǎng)度大于緩沖區(qū)長(zhǎng)度，Apache將最多只拷貝緩沖區(qū)長(zhǎng)度的數(shù)據(jù)，否則，則根據(jù)分塊長(zhǎng)度 進(jìn)行數(shù)據(jù)拷貝。然而在進(jìn)行上述檢查時(shí)，沒有將分塊長(zhǎng)度轉(zhuǎn)換為無符號(hào)型進(jìn)行比較，因此，如果攻擊者將分塊長(zhǎng)度設(shè)置成一個(gè)負(fù)值，就會(huì)繞過上述安全檢查， Apache會(huì)將一個(gè)超長(zhǎng)(至少>0x80000000字節(jié))的分塊數(shù)據(jù)拷貝到緩沖區(qū)中，這會(huì)造成一個(gè)緩沖區(qū)溢出。

對(duì)于1.3到1.3.24(含1.3.24)版本的Apache，現(xiàn)在已經(jīng)證實(shí)在Win32系統(tǒng)下, 遠(yuǎn)程攻擊者可能利用這一漏洞執(zhí)行任意代碼。在UNIX系統(tǒng)下，也已經(jīng)證實(shí)至少在OpenBSD系統(tǒng)下可以利用這一漏洞執(zhí)行代碼。據(jù)報(bào)告稱下列系統(tǒng)也可以成功的利用：
*??????Sun Solaris 6-8 (sparc/x86)
*??????FreeBSD 4.3-4.5 (x86)
*??????OpenBSD 2.6-3.1 (x86)
*??????Linux (GNU) 2.4 (x86)

對(duì)于Apache 2.0到2.0.36(含2.0.36)，盡管存在同樣的問題代碼，但它會(huì)檢測(cè)錯(cuò)誤出現(xiàn)的條件并使子進(jìn)程退出。

根據(jù)不同因素，包括受影響系統(tǒng)支持的線程模式的影響，本漏洞可導(dǎo)致各種操作系統(tǒng)下運(yùn)行的Apache Web服務(wù)器拒絕服務(wù)。

在CVSS評(píng)價(jià)中，它的示例如下：

????????----------------------------------------------------
????????BASE METRIC???????????????? EVALUATION???????? SCORE
????????----------------------------------------------------
????????Access Vector?????????????? [Remote]??????????(1.00)
????????Access Complexity?????????? [Low]???????????? (1.00)
????????Authentication??????????????[Not-Required]????(1.00)
????????Confidentiality Impact??????[Partial]???????? (0.70)
????????Integrity Impact????????????[Partial]???????? (0.70)
????????Availability Impact???????? [Complete]????????(1.00)
????????Impact Bias???????????????? [Availability]????(0.25)
????????----------------------------------------------------
????????BASE FORMULA??????????????????????????????BASE SCORE
????????----------------------------------------------------
????????round(10 * 1.0 * 1.0 * 1.0 * (0.7 * 0.25) +
???????????? (0.7 * 0.25) + (1.0 * 0.5)) ==?????????? (8.50)
????????----------------------------------------------------

????????----------------------------------------------------
????????TEMPORAL METRIC???????????? EVALUATION???????? SCORE
????????----------------------------------------------------
????????Exploitability??????????????[Functional]??????(0.95)
????????Remediation Level?????????? [Official-Fix]????(0.90)
????????Report Confidence?????????? [Confirmed]?????? (1.00)
????????----------------------------------------------------
????????TEMPORAL FORMULA??????????????????????TEMPORAL SCORE
????????----------------------------------------------------
????????round(8.50 * 0.95 * 0.90 * 1.00) ==?????????? (7.00)
????????----------------------------------------------------

????????----------------------------------------------------
????????ENVIRONMENTAL METRIC????????EVALUATION???????? SCORE
????????----------------------------------------------------
????????Collateral Damage Potential [None - High]??{0 - 0.5}
????????Target Distribution???????? [None - High]??{0 - 1.0}
????????----------------------------------------------------
????????ENVIRONMENTAL FORMULA????????????ENVIRONMENTAL SCORE
????????----------------------------------------------------
????????round((7.0 + ((10 - 7.0) * {0 - 0.5})) *
???????????? {0 - 1.00}) ==????????????????????(0.00 - 8.50)
????????----------------------------------------------------

3.2 漏洞評(píng)分表圖例

這里是一個(gè)CVSS表格的例子：

CVSS-sample.jpg

該例可以從以下地址下載：

樣例： http://www.unnoo.com/files/uploadfile/research/cvss-sample-1.1draft1.xls
空白表格： http://www.unnoo.com/files/uploadfile/research/cvss-blank-scoring-1.1draft1.xls

四、應(yīng)用實(shí)例

4.1 Nessus中的應(yīng)用

在比較流行的免費(fèi)漏洞掃描工具Nessus中，已經(jīng)部份地將CVSS中的基本評(píng)價(jià)（Base Score）用于進(jìn)行漏洞評(píng)價(jià)，取代了原先的“Risk factor”取值，舉例而言：

ASP-DEv XM Forum IMG Tag Script Injection Vulnerability的Risk factor現(xiàn)在描述如下：

Medium / CVSS Base Score : 5
(AV:R/AC:L/Au:NR/C:P/A:N/I:P/B:N)";

這段話的含義為：該漏洞的影響為中，CVSS基本評(píng)價(jià)分值為5分，其中分項(xiàng)取值表格

????????----------------------------------------------------
????????BASE METRIC???????????????? EVALUATION???????? SCORE
????????----------------------------------------------------
????????Access Vector?????????????? [Remote]??????????(1.00)
????????Access Complexity?????????? [Low]???????????? (1.00)
????????Authentication??????????????[Not-Required]????(1.00)
????????Confidentiality Impact??????[Partial]???????? (0.70)
????????Integrity Impact????????????[Partial]???????? (0.70)
????????Availability Impact???????? [None]????????????(0.00)
????????Impact Bias???????????????? [Normal]??????????(0.333)
????????----------------------------------------------------
????????BASE FORMULA??????????????????????????????BASE SCORE
????????----------------------------------------------------
????????round(10 * 1.0 * 1.0 * 1.0 * (0.7 * 0.333) +
????????(0.7 * 0.333) + (1.0 * 0.333)) ==?????????? (4.66)

4.2 推薦使用甚至CVSS的補(bǔ)丁策略

一個(gè)可選的CVSS補(bǔ)丁策略可以是將補(bǔ)丁的優(yōu)先權(quán)分為Patch Level 1-4，每個(gè)等級(jí)有不同的應(yīng)對(duì)方式：

CVSS分值　　優(yōu)先級(jí)別　　補(bǔ)丁SLA
??0?????????? P4????????可以自由決定
1-3??????????P3????????3-6個(gè)月
4-6??????????P2????????最多4周
7-10???????? P1????????最多2周

五、參照：微軟威脅評(píng)價(jià)體系介紹

在微軟的漏洞威脅評(píng)價(jià)體系中，包括以下幾方面的要素：

Microsoft Product Vulnerability:Yes/No/Patch Not Available
Vectors of Attack
New Vector of Attack:Yes/No
Distribution Potential:High/Medium/Low
Unique Data Destruction:Yes/No
Significant Service Disruption:Yes/No

微軟在補(bǔ)丁發(fā)布時(shí)會(huì)有漏洞危急程度的描述，如：CRITICAL、MODERATE等等，都是基于以上要素進(jìn)行分析的結(jié)果，例如CRTTICAL級(jí)別漏洞，各要素的取值范疇為：

Microsoft-score.jpg

當(dāng)然，作為商業(yè)評(píng)價(jià)體系，微軟的漏洞評(píng)價(jià)方法公開部份有限，因此僅能作為參考。

六、參考資料

1. A Complete Guide to the Common Vulnerability Scoring System(CVSS)
2. PSS Security Team - Security Alert Severity Matrix
3. The Common Vulnerability Scoring System
4. CVSS FAQ
5. CERT Vulnerability Scoring
6. Example of CVSS base patching policy

歡迎交流討論，聯(lián)系方式：

wulujia@unnoo.com
http://www.unnoo.com

總結(jié)

以上是生活随笔為你收集整理的通用弱点评价体系（CVSS）简介的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。