Уровни опасности уязвимостей
Мы оцениваем серьёзность уязвимостей, обнаруженных в продуктах МСВСфера, по четырёхбалльной шкале:
критический уровень опасности;
высокий уровень опасности;
средний уровень опасности;
низкий уровень опасности.
Четырёхбалльная шкала показывает, насколько серьезной считается уязвимость, помогая вам оценить степень риска и определить наиболее важные обновления.
Шкала учитывает потенциальный риск на основе технического анализа уязвимости и её типа. Уровень опасности уязвимости не меняется, если позже для неё выпущен программный код или модуль, используемый для атак на узлы, содержащие уязвимости («эксплойт» или «червь»). Уязвимость будет переоценена только в случае появления новых технических подробностей.
Уровни опасности в МСВСфера соответствуют классификации Common Vulnerability Scoring System v3.0 (CVSSv3), которая совпадает с классификацией Red Hat. Эти системы обеспечивают оценку опасности, позволяя вам принимать обоснованные решения о риске, который каждая уязвимость представляет для вашей уникальной среды.
Все бюллетени по безопасности МСВСфера вы можете найти в базе данных уязвимостей МСВСфера ОС, а также получить данные о бюллетенях в «Терминале». Для каждого бюллетеня доступно описание всех устранённых уязвимостей, а также его тип (устранение уязвимостей, устранение недостатков и улучшение), версия системы, для которой он применим, и список пакетов и архитектур. Каждая уязвимость в бюллетене имеет свой уровень опасности.
Классификация уровней опасности уязвимостей в МСВСфера ОС
Рассмотрим более подробно каждый уровень опасности.
Критический уровень
Диапазон значений: 9,0 — 10,0.
Название:
МСВСфера ОС
Red Hat
CVSSv3
Критичный
Critical
Critical
Описание: присваивается уязвимостям, которые могут быть легко использованы удалённым неаутентифицированным нарушителем и привести к компрометации системы (выполнению произвольного кода) без необходимости взаимодействия с пользователем или легко вызвать компрометацию системы через конечные точки вывода в системах с ИИ. Уязвимости, требующие аутентификации, локального или физического доступа к системе или маловероятной конфигурации, не классифицируются как критические (эти типы уязвимостей могут быть использованы «червями»).
Высокий уровень
Диапазон значений: 7,0 — 8,9.
Название:
МСВСфера ОС
Red Hat
CVSSv3
Высокий
Important
High
Описание: присваивается уязвимостям, которые могут легко поставить под угрозу конфиденциальность, целостность или доступность данных. Это такие типы уязвимостей, которые позволяют локальным или аутентифицированным нарушителям получать дополнительные привилегии, позволяют неаутентифицированным удалённым нарушителям получать доступ к защищаемым ресурсам или другими элементами управления, позволяют аутентифицированным удалённым нарушителям выполнять произвольный код, позволяют удалённым нарушителям вызывать отказ в обслуживании или могут скомпрометировать систему.
Средний уровень
Диапазон значений: 4,0 — 6,9.
Название:
МСВСфера ОС
Red Hat
CVSSv3
Средний
Moderate
Medium
Описание: присваивается уязвимостям, которые может быть сложно использовать, но которые всё равно могут привести к некоторому нарушению конфиденциальности, целостности или доступности данных при определённых обстоятельствах. Это такие типы уязвимостей, которые могли бы иметь иметь критический или важный уровень, но их сложнее использовать и/или конфигурация системы для их использования маловероятна.
Низкий уровень
Диапазон значений: 0,1 — 3,9.
Название:
МСВСфера ОС
Red Hat
CVSSv3
Низкий
Low
Low
Описание: присваивается уязвимостям, эксплуатация которых маловероятна, или же успешная эксплуатация которых приведёт к минимальным последствиям. Может включать ошибки в исходном коде, для которых не существует текущих или теоретически возможных векторов эксплуатации или которые были обнаружены в ходе технического анализа кода.
БДУ ФСТЭК
БДУ ФСТЭК — банк данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю — отечественная база уязвимостей, содержащая все уязвимости и способы их устранения. В БДУ ФСТЭК используется похожая шкала для оценки серьёзности уязвимости.