CVSS 3.0 计算公式及说明

一、基础评价

1. 基础评价公式为:

  当 影响度分值 <= 0: 基础分值 = 0

  当 0 < 影响度分值 + 可利用度分值 < 10:

    作用域 = 固定: 基础分值 = Roundup(影响度分值 + 可利用度分值)

    作用域 = 变化: 基础分值 = Roundup[1.08 × (影响度分值 + 可利用度分值)]

  当 影响度分值 + 可利用度分值 > 10:基础分值 = 10

  Roundup   保留小数点后一位,小数点后第二位大于零则进一。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0

说明:


     

   漏洞 = 受影响组件 + 脆弱组件

  Base metrics 基础评价: 基础评价表示一个漏洞的内在特征,该漏洞随时间和跨用户环境保持不变。它由两组指标组成: 可利用度 和 影响度。

The Base metric group represents the intrinsic characteristics of a vulnerability that are constant over time and across user environments. It is composed of two sets of metrics: the Exploitability metrics and the Impact metrics.

  Impact metrics  影响度评价(ISC): 影响度评价反映漏洞被成功利用所造成的直接后果,并表示 受影响组件(Impacted component)的情况。

The Impact metrics reflect the direct consequence of a successful exploit, and represent the consequence to the thing that suffers the impact, which we refer to formally as the impacted component.

  Exploitability  metrics  可利用度评价: 可利用度评价反映可利用漏洞的易利用性和技术手段难易度。 表示脆弱组件(vulnerable component)受攻击的难易程度。

The Exploitability metrics reflect the ease and technical means by which the vulnerability can be exploited. That is, they represent characteristics of the thing that is vulnerable, which we refer to formally as the vulnerable component.

  Scope 影响范围: CVSS3.0版计算的一个重要属性,反映软件组件中的漏洞会否影响其以外的资源或获得其以外的权限。这一结果由度量值 授权域 或 简单域表示。

An important property captured by CVSS v3.0 is the ability for a vulnerability in one software component to impact resources beyond its means, or privileges. This consequence is represented by the metric Authorization Scope, or simply Scope.

  取值范围:unchanged(U) 固定:被利用的漏洞只能影响由同一当局管理的资源。在这种情况下,脆弱组件 受影响组件是同一个。

        changed(C)  变化:被利用的漏洞可能会影响超出脆弱组件预期授权权限的资源。在这种情况下,脆弱组件受影响组件并非同一个。

2.影响度分值计算公式为:

  当 作用域 = 固定: 影响度分值 = 6.42 × ISCbase

  当 作用域 = 变化: 影响度分值 = 7.52 × (ISCbase − 0.029) − 3.25 × (ISCbase - 0.02)^15

  其中: ISCbase = 1- [(1 - 机密性影响) × (1 - 完整性影响) × (1 - 可用性影响)]

  ISCbase 为临时变量

说明:

  Confidentiality Impact(C) 机密性影响: 该指标衡量成功利用漏洞对软件组件管理的信息资源的机密性的影响程度。机密 是指仅限于授权用户访问和披露的信息,以及防止未授权用户访问或披露的信息。

This metric measures the impact to the confidentiality of the information resources managed by a software component due to a successfully exploited vulnerability. Confidentiality refers to limiting information access and disclosure to only authorized users, as well as preventing access by, or disclosure to, unauthorized ones.

  Integrity Impact(I) 完整性影响: 该指标衡量成功利用漏洞对完整性的影响程度。完整性 是指信息的可靠性和准确性。

This metric measures the impact to integrity of a successfully exploited vulnerability. Integrity refers to the trustworthiness and veracity of information.

  Availability Impact(A) 可用性影响: 该指标衡量成功利用漏洞对受影响组件可用性的影响程度。虽然机密性和完整性影响指标适用于受影响组件使用的数据(如信息、文件)的机密性或完整性的损失,但此指标是指受影响组件本身的可用性损失,如网络服务(如Web、数据库、电子邮件)。可用性是指信息资源的可访问性,如消耗网络带宽、处理器周期或磁盘空间的攻击都会影响受影响组件的可用性。

This metric measures the impact to the availability of the impacted component resulting from a successfully exploited vulnerability. While the Confidentiality and Integrity impact metrics apply to the loss of confidentiality or integrity of data (e.g., information, files) used by the impacted component, this metric refers to the loss of availability of the impacted component itself, such as a networked service (e.g., web, database, email). Since availability refers to the accessibility of information resources, attacks that consume network bandwidth, processor cycles, or disk space all impact the availability of an impacted component.

  以上三项的取值范围(相同)  None(N) 无: 毫无影响。

                   Low(L)  低: 低程度影响,总体上不会造成重大损失。

                 High(H) 高: 高度影响,可能会造成严重的损失。

3.可利用度分值计算公式为:

 可利用度分值 = 8.22 × 攻击途径 × 攻击复杂度 × 权限要求 × 用户交互

说明:

  Attack Vector(AV) 攻击途径该指标反映了攻击脆弱组件的环境可能。该度量值(以及相应的基本分数)将越大,攻击者攻击脆弱组件的距离(逻辑上和物理上)就越远。

  This metric reflects the context by which vulnerability exploitation is possible. This metric value (and consequently the Base score) will be larger the more remote (logically, and physically) an attacker can be in order to exploit the vulnerable component.

  取值范围:Network(N) 远程网络可远程利用,即此脆弱组件可被一个以上网络跃点的距离进行攻击(例如,跨路由器的第3层边界)。

        Adjacent Network(A) 相邻网络:攻击仅限于同一共享物理(如蓝牙、IEEE 802.11)或逻辑(如本地IP子网)网络,并且不能跨OSI第3层边界(如路由器)执行。

         Local(L) 本地: 攻击者只能通过本地读/写/执行功能进行攻击。在某些情况下,攻击者可能在本地登录以攻击脆弱组件,或者可能依赖用户交互来执行恶意文件。

        Physical(P) 物理: 攻击者只能通过物理方式接触或操作脆弱组件,例如将外围设备连接到系统。

  Attack Complexity (AC) 攻击复杂度 攻击复杂度为攻击者无法控制的条件,这些条件必须存在才能攻击脆弱组件。如下文所述,这些条件可能需要预先收集有关目标或系统的配置或计算异常等更多信息。

  The Attack Complexity metric describes the conditions beyond the attacker's control that must exist in order to exploit the vulnerability. As described below, such conditions may require the collection of more information about the target, the presence of certain system configuration settings, or computational exceptions.

  取值范围:Low(L) 低复杂度: 攻击者可以随意攻击,不存在惩罚机制。

       High(H) 高复杂度: 攻击无法随意完成,攻击者在攻击成功之前,需要对脆弱组件投入大量的准备。

  Privilege Required (PR) 权限要求: 此指标描述攻击者在成功攻击脆弱组件之前必须拥有的权限级别。

  This metric describes the level of privileges an attacker must possess before successfully exploiting the vulnerability.

  取值范围:None(N) 无要求:攻击者在攻击之前无需经过授权,因此不需要访问设置或文件来执行攻击。

       Low(L) 低权要求: 攻击者需要拥有基本用户功能的特权,通常只影响普通用户拥有的设置和文件。或者,具有低权限的攻击者可能只能对非敏感资源造成影响。

       High(H) 高权要求: 攻击者需要对可能影响组件范围设置和文件的易受攻击组件提供重要(如管理)控制的权限。

  User Interaction (UI) 用户交互:此指标描述攻击脆弱组件对除攻击者之外的用户参与的需求,即确定脆弱组件是仅攻击者本身就可以随意利用,还是需要用户(或用户进程)以某种方式参与。

  This metric captures the requirement for a user, other than the attacker, to participate in the successful compromise of the vulnerable component. This metric determines whether the vulnerability can be exploited solely at the will of the attacker, or whether a separate user (or user-initiated process) must participate in some manner.

  取值范围:None(N) 无需求:不需要任何用户的交互就可以成功攻击此脆弱组件。

        Require(R) 有需求:需要用户采取一些措施才能成功攻击此脆弱组件,例如说服用户单击电子邮件中的链接。

二、生命周期评价

1.生命周期评价的计算公式为:

  生命周期 = Roundup(基础分值 × 利用度 × 补丁水平 × 报告可信度)

说明:

  

  Temporal 生命周期评价

  此指标衡量当前利用技术或代码可用性的状态,是否存在任何补丁或解决方法,或者漏洞报告的可信度。生命周期评价几乎肯定会随着时间的推移而改变。

  The Temporal metrics measure the current state of exploit techniques or code availability, the existence of any patches or workarounds, or the confidence that one has in the description of a vulnerability. Temporal metrics will almost certainly change over time.

  Exploitability (E) 利用代码成熟度

  该指标衡量漏洞被攻击的的可能性,通常基于当前的利用技术状态、利用代码可用性或主动“在野外”利用。漏洞越容易被利用,漏洞得分越高。

This metric measures the likelihood of the vulnerability being attacked, and is typically based on the current state of exploit techniques, exploit code availability, or active, 'in-the-wild' exploitation. The more easily a vulnerability can be exploited, the higher the vulnerability score.

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

        Unproven that exploit exists(U) 未证明漏洞存在:没有可用的漏洞代码,或者漏洞完全是理论上的。

        Proof of concept code(P) 概念验证阶段:概念验证利用代码可用,或者攻击演示对大多数系统都不实用。代码或技术在所有情况下都不起作用,可能需要熟练的攻击者进行大量修改。

         Founctional exploit exists(F) 功能性漏洞代码可用: 在存在该漏洞的大多数情况下,代码都可以工作。

         High(H) 高度可用: 存在自动功能或者不需要手动触发的代码,且详细被广泛公开。利用代码在任何情况下都有效,或者通过自主代理(如蠕虫或病毒)主动传递。连接网络的系统可能会遭到扫描或利用尝试。开发已达到可靠、广泛可用、易于使用的自动化工具水平。

  Remediation Level(RL) 补丁水平:漏洞的修复级别是确定优先级的一个重要因素。典型的漏洞在最初发布时是未修补的。在发布官方补丁或升级之前,解决方法或修复程序可能会提供临时补救措施。这些阶段中的每一个都向下调整时间评分,反映出随着补救成为最终结果而降低的紧迫性。

  The Remediation Level of a vulnerability is an important factor for prioritization. The typical vulnerability is unpatched when initially published. Workarounds or hotfixes may offer interim remediation until an official patch or upgrade is issued. Each of these respective stages adjusts the temporal score downwards, reflecting the decreasing urgency as remediation becomes final.

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

       Offical fix(O) 正式修复补丁:供应商已提供完整的解决方案。供应商已经发布了官方补丁,或者可以升级。

       Temporary fix(T) 临时修复补丁:有一个官方但临时的解决方案。这包括供应商发布临时修补程序、工具或解决方案的实例。

       Workaround(W) 非官方修复方式:有一个非官方的、非供应商的解决方案。在某些情况下,受影响技术的用户将创建自己的补丁,或提供解决或减轻漏洞的步骤。

       Unavailable(U) 无可用修复方案:要么没有可用的解决方案,要么无法应用。

  Report Confidence (RC) 报告可信度:该指标衡量对漏洞存在及已知技术细节的可信度。有时只公开存在漏洞,但没有具体细节。该漏洞随后可能会被研究所证实,研究表明漏洞可能存在于何处,尽管研究可能不确定。最后,脆弱性可以通过受影响技术的作者或供应商的公示来确认。

  This metric measures the degree of confidence in the existence of the vulnerability and the credibility of the known technical details. Sometimes only the existence of vulnerabilities are publicized, but without specific details. The vulnerability may later be corroborated by research which suggests where the vulnerability may lie, though the research may not be certain. Finally, a vulnerability may be confirmed through acknowledgement by the author or vendor of the affected technology.

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

        Unknown(U) 未知:存在表明存在漏洞的影响报告。报告对漏洞的原因未知,或者报告描述的可能在漏洞的原因或影响与实际有所不同。报告者对漏洞的真实性质不确定,并且对于报告的有效性或考虑到所描述的差异是否可以应用静态基础分数几乎没有信心。

        Reasonable(R) 可信:重要的细节已经公布,但是研究人员或者对根本原因没有完全确定,或者没有可访问的源代码来完全确认可能导致的结果及所有交互作用。然而,存在一定的可信度,即bug是可复制的,并且至少有一个影响可以被验证出来(概念验证出漏洞可被利用)。

        Confirmed(C) 已确认:存在详细的报告,或者可以进行功能复制。源代码被用于独立验证研究并得到确证,或者受影响代码的作者或供应商已确认存在该漏洞。

三、环境评价

1.环境评价的计算公式为:

  当 影响度 <= 0: 环境评价分值 = 0

  当 影响度 > 0 且 无修正:环境评价分值 = Roundup(Roundup (Min[(M.影响度分值 + M.可利用度分值) ,10])× 利用度 × 补丁水平 × 报告可信度)

  当 影响度 > 0 且 有修正:环境评价分值 = Roundup(Roundup (Min[1.08 × (M.影响度分值 + M.可利用度分值) ,10]) × 利用度 × 补丁水平 × 报告可信度)

  Min 比较前后两值,取小者

  M. 代表被修正后的分数,弱对应项无修改,则为原值。

2.影响力修正得分公式为:

  作用域 = 固定: 影响度修正分  = 6.42 × ISCModified

  作用域 = 变化:影响度修正分  = 7.52 × (ISCModified − 0.029) − 3.25 × (ISCModified - 0.02)^15

  其中: ISCModified = Min(1- [(1 - M.机密性影响 × M.机密性需求) × (1 - M.完整性影响 × M.完整性需求) × (1 - M.可用性影响 × M.可用性需求)],0.915)

    ISCModified 为临时变量

3.可利用性修正得分公式为:

  M.可利用度分值 = 8.22 × M.攻击途径 × M.攻击复杂度 × M.权限需求 × M.用户交互

说明:

   

  Environmental 环境评价: 这些指标使分析师能够根据受影响的IT资产对用户组织的重要性定制CVSS评分,以现有的补充/替代安全控制、机密性、完整性和可用性衡量。这些度量是修改后的基本度量的等价物,并根据组织基础结构中组件的情况的分配分值。

  These metrics enable the analyst to customize the CVSS score depending on the importance of the affected IT asset to a user's organization, measured in terms of complementary/alternative security controls in place, Confidentiality, Integrity, and Availability. The metrics are the modified equivalent of base metrics and are assigned metrics value based on the component placement in organization infrastructure

  *注:除以下三项以外,其他子项的定义均与原基础评价对应的子项定义一致

  Confidentiality Requirement (CR):机密性需求

  Integrity Requirement (IR):完整性需求

  Availability Requirement (AR):可用性需求

  取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。

          Low(L) 低: 机密性(完整性/可用性) 丧失可能对组织或与组织相关的个人(如员工、客户)产生有限的不利影响。

         Medium(M) 中: 机密性(完整性/可用性) 丧失可能对组织或与组织相关的个人(如员工、客户)产生严重不利影响。

       High(H) 高: 机密性(完整性/可用性) 可能对组织或与组织相关的个人(如员工、客户)造成灾难性的不利影响。

       

四、原文 

  原文出处:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

通用漏洞评估方法CVSS 3.0 计算公式及说明的更多相关文章

  1. 通用漏洞评估方法CVSS3.0简表

    CVSS3.0计算分值共有三种维度: 1. 基础度量. 分为 可利用性 及 影响度 两个子项,是漏洞评估的静态分值. 2. 时间度量. 基础维度之上结合受时间影响的三个动态分值,进而评估该漏洞的动态分 ...

  2. SNFAutoupdater通用自动升级组件V2.0

    1.组件介绍 C/S构的特点是能充分发挥客户端的处理能力,很多工作可以由客户端处理后再提交给服务器,对应的优点就是客户端响应速度快模式客户端以其强大的功能,丰富的表现力受到相当大部分用户的青睐,但是客 ...

  3. CentOS8.1操作系下使用通用二进制包安装MySQL8.0(实践整理自MySQL官方)

    写在前的的话: 在IT技术日新月异的今天,老司机也可能在看似熟悉的道路上翻车,甚至是大型翻车现场!自己一个人开车过去翻个车不可怕,可怕的是带着整个团队甚至是整个公司一起翻车山崖下,解决办法就是:新出现 ...

  4. 网络攻防实验任务三_(2)X-Scan通用漏洞扫描实验

    首先在宿主机中打开xscan_gui.exe,结果系统直接将它删掉了. 大概是因为开了防火墙的缘故. 于是我在win7虚拟机中运行这个程序. 并且关闭防火墙,在win7中可以运行 我再试了一下win1 ...

  5. 【漏洞】PHPCMS_V9.6.0 前台注册GETSHELL

    首先准备一台公网服务器,在上面新建一个一句话的txt文件.如下: 接着打开目标网站,点击注册,填写信息后点击提交,拦截该数据包. 将其中post提交的数据替换成我们的poc,poc如下: siteid ...

  6. 漏洞风险评估:CVSS介绍及计算

    CVSS 通用弱点评价体系(CVSS)是由NIAC开发.FIRST维护的一个开放并且能够被产品厂商免费采用的标准.利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级. CVSS : ...

  7. Phpwind v9.0 存储型xss跨站漏洞

    漏洞版本: Phpwind v9.0 漏洞描述: Phpwind专注于中小网站应用的整合和价值的发掘,我们认为,以社区为网站的基础,可以提供丰富的应用,满足人们获取信息.交流.娱乐.消费等生活需求.获 ...

  8. phpMyAdmin <= 4.0.4.1 import.php GLOBALS变量注入漏洞

    漏洞版本: phpMyAdmin <= 4.0.4.1 漏洞描述: CVE(CAN) ID: CVE-2013-4729 phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创 ...

  9. ThinkPHP 小于5.0.24 远程代码执行高危漏洞 修复方案

    漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell. 漏洞评级严重 影响版本ThinkPHP 5.0系列 < ...

随机推荐

  1. iOS开发-本地存储(偏好设置,Plist,归档)

    1.   NSUserDefaults //TODO: 1.NSUserDefaults NSUserDefaults类除了可以存储数组.字典.NSdata外,还可以直接存储OC基本类型属性.但是不能 ...

  2. [Kali_Debian] 清除无用的库文件(清理系统,洁癖专用)-布布扣-bubuko.com - Google Chrome

    [Kali_Debian] 清除无用的库文件(清理系统,洁癖专用) 时间:2014-11-07 16:25:36      阅读:1486      评论:0      收藏:0      [点我收藏 ...

  3. etcd raft如何实现Linearizable Read

    Linearizable Read通俗来讲,就是读请求需要读到最新的已经commit的数据,不会读到老数据. 对于使用raft协议来保证多副本强一致的系统中,读写请求都可以通过走一次raft协议来满足 ...

  4. 视频截图Util

    ​​ VideoToPicUtil.java package com.zhwy.util; import java.io.File; import java.util.ArrayList; impor ...

  5. DMA与cache一致性的问题

    Cache和DMA本身似乎是两个毫不相关的事物.Cache被用作CPU针对内存的缓存利用程序的空间局部性和时间局部性原理,达到较高的命中率,从而避免CPU每次都必须要与相对慢速的内存交互数据来提高数据 ...

  6. linux系统日志自动切割工具----logrotate

    参考资料 :https://www.cnblogs.com/kevingrace/p/6307298.html 对于Linux系统安全来说,日志文件是极其重要的工具.不知为何,我发现很多运维同学的服务 ...

  7. Linux 下安装Node.js

    安装 node.js 安装包 http://nodejs.org 通过 rz 上传到 CentOS 进行解压 tar -xvf node-v8.0.0-linux-x64.tar.xz 进入到 bin ...

  8. 拓普微小尺寸TFT液晶屏-高性价比

    智能模块(Smart LCD)是专为工业显示应用而设计的TFT液晶显示模块. 模块自带主控IC.Flash存储器.实时嵌入式操作系统,客户主机可把要存储的数据(如背景图.图标等)存储到屏的flash中 ...

  9. Django templates 模板的语法

    MVC 以及 MTV MVC: M : model -->> 存取数据(模型) V: view -->> 信息的展示(视图) C: controller -->> ...

  10. 解决MySQL Workbench导出乱码问题

    1.导出数据 2.默认CSV格式 3.乱码 4.解决 文件->另存为,会发现编码为UTF-8,正是MySQL表的编码方式.我们选择编码方式为ANSI,保存类型为所有,覆盖源文件