http://www.xfocus.net

一、綜述

弱點（vulnerabilities）是網絡安全中的一個重要因素，在多種安全產品（如漏洞掃描、入侵檢測、防病毒、補丁管理等）中涉及到對弱點及其可 能造成的影響的評價。但目前業界并沒有通用統一的評價體系標準。通用弱點評價體系（CVSS）是由NIAC開發、FIRST維護的一個開放并且能夠被產品 廠商免費采用的標準。利用該標準，可以對弱點進行評分，進而幫助我們判斷修復不同弱點的優先等級。

二、通用弱點評價體系（CVSS）

2.1 CVSS的要素

通過下圖可以看出通用弱點評價體系（CVSS）包含的要素及它們之間的相互關系：

CVSS-model-detailed-8.0.jpg

通用弱點評價體系（CVSS）的所有要素及其取值范圍如下表所示：

CVSS-metric.jpg

有些需要說明的要素如下：

1、如果漏洞既可遠程利用，又可以本地利用，取值應該為遠程利用的分值。
2、攻擊復雜度的分值由原先的低/高變為低/中/高，參見： http://www.first.org/cvss/draft/accepted/060103.html
3、需要認證的例子，如需要預先有Email、FTP帳號等。

有些有用的參考資源如下：

CVSS評分計算器： http://nvd.nist.gov/cvss.cfm?calculator
CVSS的最近更新： http://www.first.org/cvss/draft/
一些文檔及膠片： http://www.first.org/cvss/links.html

2.2 CVSS評分方法

2.2.1 基本評價
基本評價指的是該漏洞本身固有的一些特點及這些特點可能造成的影響的評價分值，該分值取值如下：

AccessVector???? = case AccessVector of
????????????????????????local:????????????0.7
????????????????????????remote:?????????? 1.0
????????????????????????
AccessComplexity = case AccessComplexity of
????????????????????????high:???????????? 0.6
????????????????????????medium:?????????? 0.8
????????????????????????low:??????????????1.0
????????????????????????????
Authentication?? = case Authentication of
????????????????????????required:???????? 0.6
????????????????????????not-required:???? 1.0
????????????????????????????
ConfImpact?????? = case ConfidentialityImpact of
????????????????????????none:???????????? 0
????????????????????????partial:??????????0.7
????????????????????????complete:???????? 1.0
????????????????????????????
ConfImpactBias?? = case ImpactBias of
????????????????????????normal:?????????? 0.333
????????????????????????confidentiality:??0.5
????????????????????????integrity:????????0.25
????????????????????????availability:???? 0.25
????????????????????????????
IntegImpact??????= case IntegrityImpact of
????????????????????????none:???????????? 0
????????????????????????partial:??????????0.7
????????????????????????complete:???????? 1.0
????????????????????????????
IntegImpactBias??= case ImpactBias of
????????????????????????normal:?????????? 0.333
????????????????????????confidentiality:??0.25
????????????????????????integrity:????????0.5
????????????????????????availability:???? 0.25
????????????????????????????
AvailImpact??????= case AvailabilityImpact of
????????????????????????none:???????????? 0
????????????????????????partial:??????????0.7
????????????????????????complete:???????? 1.0
????????????????????????????
AvailImpactBias??= case ImpactBias of
????????????????????????normal:?????????? 0.333
????????????????????????confidentiality:??0.25
????????????????????????integrity:????????0.25
????????????????????????availability:???? 0.5

BaseScore = round_to_1_decimal(10 * AccessVector
??????????????????????????????????* AccessComplexity
??????????????????????????????????* Authentication
??????????????????????????????????* ((ConfImpact * ConfImpactBias)
??????????????????????????????????+ (IntegImpact * IntegImpactBias)
??????????????????????????????????+ (AvailImpact * AvailImpactBias)))

2.2.2 生命周期評價
因為漏洞往往同時間是有緊密關聯的，因此這里也列舉出三個與時間緊密關聯的要素如下：

Exploitability?? = case Exploitability of
????????????????????????unproven:???????????? 0.85
????????????????????????proof-of-concept:???? 0.9
????????????????????????functional:?????????? 0.95
????????????????????????high:???????????????? 1.00
????????????????????????
RemediationLevel = case RemediationLevel of
????????????????????????official-fix:???????? 0.87
????????????????????????temporary-fix:????????0.90
????????????????????????workaround:?????????? 0.95
????????????????????????unavailable:??????????1.00
????????????????????????
ReportConfidence = case ReportConfidence of
????????????????????????unconfirmed:??????????0.90
????????????????????????uncorroborated:?????? 0.95??????
????????????????????????confirmed:????????????1.00

TemporalScore = round_to_1_decimal(BaseScore * Exploitability
???????????????????????????????????????????? * RemediationLevel
???????????????????????????????????????????? * ReportConfidence)

2.2.3 環境評價
每個漏洞會造成的影響大小都與用戶自身的實際環境密不可分，因此可選項中也包括了環境評價，這可以由用戶自評。

CollateralDamagePotential = case CollateralDamagePotential of
???????????????????????????????? none:????????????0
???????????????????????????????? low:???????????? 0.1
???????????????????????????????? medium:??????????0.3??
???????????????????????????????? high:????????????0.5??????
????????????????????????????????
TargetDistribution????????= case TargetDistribution of
???????????????????????????????? none:????????????0
???????????????????????????????? low:???????????? 0.25
???????????????????????????????? medium:??????????0.75
???????????????????????????????? high:????????????1.00

EnvironmentalScore = round_to_1_decimal((TemporalScore + ((10 - TemporalScore)
???????????????????????????????????????? * CollateralDamagePotential))
???????????????????????????????????????? * TargetDistribution)

三、示例

3.1 一個漏洞的評分實例

這個例子是Apache Web Server分塊編碼遠程溢出漏洞，該漏洞的描述為（參考 http://www.nsfocus.net/vulndb/2975）：

Apache在處理以分塊(chunked)方式傳輸數據的HTTP請求時存在設計漏洞，遠程攻擊者可能利用此漏洞在某些Apache服務器上以Web服務器進程的權限執行任意指令或進行拒絕服務攻擊。

分塊編碼(chunked encoding)傳輸方式是HTTP 1.1協議中定義的Web用戶向服務器提交數據的一種方法，當服務器收到chunked編碼方式的數據時會分配一個緩沖區存放之，如果提交的數據大小未 知，客戶端會以一個協商好的分塊大小向服務器提交數據。

Apache服務器缺省也提供了對分塊編碼(chunked encoding)支持。Apache使用了一個有符號變量儲存分塊長度，同時分配了一個固定大小的堆棧緩沖區來儲存分塊數據。出于安全考慮，在將分塊數 據拷貝到緩沖區之前，Apache會對分塊長度進行檢查，如果分塊長度大于緩沖區長度，Apache將最多只拷貝緩沖區長度的數據，否則，則根據分塊長度 進行數據拷貝。然而在進行上述檢查時，沒有將分塊長度轉換為無符號型進行比較，因此，如果攻擊者將分塊長度設置成一個負值，就會繞過上述安全檢查， Apache會將一個超長(至少>0x80000000字節)的分塊數據拷貝到緩沖區中，這會造成一個緩沖區溢出。

對于1.3到1.3.24(含1.3.24)版本的Apache，現在已經證實在Win32系統下, 遠程攻擊者可能利用這一漏洞執行任意代碼。在UNIX系統下，也已經證實至少在OpenBSD系統下可以利用這一漏洞執行代碼。據報告稱下列系統也可以成功的利用：
*??????Sun Solaris 6-8 (sparc/x86)
*??????FreeBSD 4.3-4.5 (x86)
*??????OpenBSD 2.6-3.1 (x86)
*??????Linux (GNU) 2.4 (x86)

對于Apache 2.0到2.0.36(含2.0.36)，盡管存在同樣的問題代碼，但它會檢測錯誤出現的條件并使子進程退出。

根據不同因素，包括受影響系統支持的線程模式的影響，本漏洞可導致各種操作系統下運行的Apache Web服務器拒絕服務。

在CVSS評價中，它的示例如下：

????????----------------------------------------------------
????????BASE METRIC???????????????? EVALUATION???????? SCORE
????????----------------------------------------------------
????????Access Vector?????????????? [Remote]??????????(1.00)
????????Access Complexity?????????? [Low]???????????? (1.00)
????????Authentication??????????????[Not-Required]????(1.00)
????????Confidentiality Impact??????[Partial]???????? (0.70)
????????Integrity Impact????????????[Partial]???????? (0.70)
????????Availability Impact???????? [Complete]????????(1.00)
????????Impact Bias???????????????? [Availability]????(0.25)
????????----------------------------------------------------
????????BASE FORMULA??????????????????????????????BASE SCORE
????????----------------------------------------------------
????????round(10 * 1.0 * 1.0 * 1.0 * (0.7 * 0.25) +
???????????? (0.7 * 0.25) + (1.0 * 0.5)) ==?????????? (8.50)
????????----------------------------------------------------

????????----------------------------------------------------
????????TEMPORAL METRIC???????????? EVALUATION???????? SCORE
????????----------------------------------------------------
????????Exploitability??????????????[Functional]??????(0.95)
????????Remediation Level?????????? [Official-Fix]????(0.90)
????????Report Confidence?????????? [Confirmed]?????? (1.00)
????????----------------------------------------------------
????????TEMPORAL FORMULA??????????????????????TEMPORAL SCORE
????????----------------------------------------------------
????????round(8.50 * 0.95 * 0.90 * 1.00) ==?????????? (7.00)
????????----------------------------------------------------

????????----------------------------------------------------
????????ENVIRONMENTAL METRIC????????EVALUATION???????? SCORE
????????----------------------------------------------------
????????Collateral Damage Potential [None - High]??{0 - 0.5}
????????Target Distribution???????? [None - High]??{0 - 1.0}
????????----------------------------------------------------
????????ENVIRONMENTAL FORMULA????????????ENVIRONMENTAL SCORE
????????----------------------------------------------------
????????round((7.0 + ((10 - 7.0) * {0 - 0.5})) *
???????????? {0 - 1.00}) ==????????????????????(0.00 - 8.50)
????????----------------------------------------------------

3.2 漏洞評分表圖例

這里是一個CVSS表格的例子：

CVSS-sample.jpg

該例可以從以下地址下載：

樣例： http://www.unnoo.com/files/uploadfile/research/cvss-sample-1.1draft1.xls
空白表格： http://www.unnoo.com/files/uploadfile/research/cvss-blank-scoring-1.1draft1.xls

四、應用實例

4.1 Nessus中的應用

在比較流行的免費漏洞掃描工具Nessus中，已經部份地將CVSS中的基本評價（Base Score）用于進行漏洞評價，取代了原先的“Risk factor”取值，舉例而言：

ASP-DEv XM Forum IMG Tag Script Injection Vulnerability的Risk factor現在描述如下：

Medium / CVSS Base Score : 5
(AV:R/AC:L/Au:NR/C:P/A:N/I:P/B:N)";

這段話的含義為：該漏洞的影響為中，CVSS基本評價分值為5分，其中分項取值表格

????????----------------------------------------------------
????????BASE METRIC???????????????? EVALUATION???????? SCORE
????????----------------------------------------------------
????????Access Vector?????????????? [Remote]??????????(1.00)
????????Access Complexity?????????? [Low]???????????? (1.00)
????????Authentication??????????????[Not-Required]????(1.00)
????????Confidentiality Impact??????[Partial]???????? (0.70)
????????Integrity Impact????????????[Partial]???????? (0.70)
????????Availability Impact???????? [None]????????????(0.00)
????????Impact Bias???????????????? [Normal]??????????(0.333)
????????----------------------------------------------------
????????BASE FORMULA??????????????????????????????BASE SCORE
????????----------------------------------------------------
????????round(10 * 1.0 * 1.0 * 1.0 * (0.7 * 0.333) +
????????(0.7 * 0.333) + (1.0 * 0.333)) ==?????????? (4.66)

4.2 推薦使用甚至CVSS的補丁策略

一個可選的CVSS補丁策略可以是將補丁的優先權分為Patch Level 1-4，每個等級有不同的應對方式：

CVSS分值　　優先級別　　補丁SLA
??0?????????? P4????????可以自由決定
1-3??????????P3????????3-6個月
4-6??????????P2????????最多4周
7-10???????? P1????????最多2周

五、參照：微軟威脅評價體系介紹

在微軟的漏洞威脅評價體系中，包括以下幾方面的要素：

Microsoft Product Vulnerability:Yes/No/Patch Not Available
Vectors of Attack
New Vector of Attack:Yes/No
Distribution Potential:High/Medium/Low
Unique Data Destruction:Yes/No
Significant Service Disruption:Yes/No

微軟在補丁發布時會有漏洞危急程度的描述，如：CRITICAL、MODERATE等等，都是基于以上要素進行分析的結果，例如CRTTICAL級別漏洞，各要素的取值范疇為：

Microsoft-score.jpg

當然，作為商業評價體系，微軟的漏洞評價方法公開部份有限，因此僅能作為參考。

六、參考資料

1. A Complete Guide to the Common Vulnerability Scoring System(CVSS)
2. PSS Security Team - Security Alert Severity Matrix
3. The Common Vulnerability Scoring System
4. CVSS FAQ
5. CERT Vulnerability Scoring
6. Example of CVSS base patching policy

歡迎交流討論，聯系方式：

wulujia@unnoo.com
http://www.unnoo.com

總結

以上是生活随笔為你收集整理的通用弱点评价体系（CVSS）简介的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。