CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布、FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络中所存在的系统漏洞的特点与影响提供了一个开放式的评价方法。
1.度量(Metrics)
CVSS3.0由三个基本尺度组成,
基本(Base):代表着漏洞的原始属性,不受时间与环境的影响,又由Exploitability可执行性与影响程度Impact 度量。
时间(Temporal):反应漏洞随着时间推移的影响而不受环境影响,举个简单的例子,随着一个漏洞软件的补丁不断增加,该漏洞的CVSS分数会随之减少。
环境(Environmental):代表特定环境下执行漏洞的分数,允许根据相应业务需求提高或者降低该分值。
2.分数(Scoring)
Base分值由专业的分析人员给出,分数在0.0-10.0之间,可以在美国国家漏洞数据库官网上搜到相应CVE漏洞的分值
https://nvd.nist.gov/vuln/search
计算方法可见下表:
对于时间与环境的分值是一种可选项,可根据具体的商业环境来选择。
3.Base Merics具体计算方法
3.1 Exploitability可执行性块
| 攻击向量(AV) | 网络(N)/邻居(A)/本地(L)/物理(P) | 0.85 / 0.62 / 0.55 / 0.2 |
| 攻击复杂度(AC) | 低(L)/高(H) | 0.77 / 0.44 |
| 权限要求(PR) | 无(N)/低(L)/高(H) | 0.85 / 0.62(0.68) / 0.27(0.50) |
| 用户交互(UI) | 不需要(N)/需要(R) | 0.85 / 0.62 |
| 影响范围(UI) | 不改变(U)/改变(C) | 根据Impact sub score和ISC取值 |
3.2 Impact影响指标
| 机密性(C) | 无(N)/低(L)/高(H) | 0 / 0.22 / 0.56 |
| 完整性(I) | 无(N)/低(L)/高(H) | 0 / 0.22 / 0.56 |
| 可用性(A) | 无(N)/低(L)/高(H) | 0 / 0.22 / 0.56 |
4.Time具体计算方法
| 利用代码的成熟度(E) | 未验证(U)/PoC(P)/EXP(F)/自动化利用(H) | 0.91 / 0.94 / 0.97 / 1 |
| 修复方案(RL) | 正式补丁(O)/临时补丁(T)/缓解措施(W)/不可用(U) | 0.95 / 0.96 / 0.97 / 1 |
| 来源可信度(RC) | 未知(U)/未完全确认(R)/已确认(C) | 0.92 / 0.96 / 1 |
5.Environmental具体计算方法
| 环境分数(可选) | |
|---|---|
| 机密性要求(CR) | 未定义(X) 低(L) 中(M) 高(H) |
| 完整性要求(IR) | 未定义(X) 低(L) 中(M) 高(H) |
| 可用性要求(AR) | 未定义(X) 低(L) 中(M) 高(H) |
| 修改基础度量指标
(Modified Base Metrics) | Modified Attack Vector (MAV) Modified Attack Complexity (MAC) Modified Privileges Required (MPR) Modified User Interaction (MUI) Modified Scope (MS) Modified Confidentiality (MC) Modified Integrity (MI) Modified Availability (MA) |
CVSS 3.0 官方文档:https://www.first.org/cvss/specification-document
