1.烽火狼烟丨CVSS评分策略分析及近年来满分漏洞盘点
烽火狼烟丨CVSS评分策略分析及近年来满分漏洞盘点
引言
近两年,烽火烽火网络攻击频发,狼烟狼烟重大漏洞不断涌现,指标主图指标并伴随在野利用。源码例如去年的烽火烽火log4shell(CVE--)和今年的spring4shell(CVE--)都引发了广泛关注。在分析spring漏洞时,狼烟狼烟云端office源码由于cve编号未定,指标主图指标自评影响力也不高,源码因此并未过多关注。烽火烽火最近,狼烟狼烟我好奇地查看了这个漏洞的指标主图指标CVSS评分,想了解官方是源码如何评估其影响力的。结果显示,烽火烽火python 区块链源码CVSS V2.0评分为7.5,狼烟狼烟CVSS 3.1评分为9.8。指标主图指标那么CVSS的评分依据是什么?2.x和3.x的评分标准有何区别?分数越高是否代表漏洞危害越大?近年来有哪些CVSS评分为满分的漏洞?本文将就这些问题进行探讨。
CVSS评分依据
2.1 CVSS评分指标
CVSS(Common Vulnerability Scoring System)即“通用漏洞评分系统”,是一个行业公开标准,旨在评估漏洞严重程度,就爱易支付源码帮助确定所需反应的紧急度和重要度。CVSS是SCAP(Security Content Automation Protocol)的一部分,通常与CVE(Common Vulnerabilities and Exposures)一同由美国国家漏洞库(NVD)发布并更新。CVSS标准由FIRST制定,并由SIG(CVSS Special Interest Group)改进和推广。通过漏洞难易程度以及对机密性、天意发卡网源码完整性、可用性的影响综合评估,生成一个0到分之间的评分值来评估漏洞严重程度。
2.2 基础评价对比
CVSS的评分指标由三部分组成:基础评价、生命周期评价和环境评价。
2.3 生命周期评价对比
CVSS 2.0和CVSS 3.1对生命周期评价的筹码分源码指标要素基本一致,都包括利用代码成熟度、补丁完善水平和报告可信度三个方面,差别主要在具体分值上。
2.4 环境评价对比
CVSS 2.0和CVSS 3.1在环境评价的要素和记分方式上差别很大。
2.5 漏洞等级
CVSS 2.0对漏洞等级的定义有低、中、高三个级别,CVSS 3.0开始补充了“严重”这个级别。
评分案例分析
那么,CVSS评分越高是否代表漏洞越严重呢?以永恒之蓝(CVE--)为例,CVSS 3.X的最终评分仅为8.1分,甚至没有进入严重级别。通过分析CVSS 3.0标准,我们发现该漏洞的攻击复杂度评价较高,作用域评价为固定,这两个原因导致了评分不高。
CVSS满分漏洞盘点
以CVSS 3.1为参考标准,从年以来至今,9-分的漏洞共有个,其中满分的漏洞共有个。
