Уязвимости
Чтобы открыть эту страницу, нажмите на «Уязвимости (CVE)» в левой панели меню экземпляра.
Внимание
Для обновления информации об уязвимостях должен быть открыт доступ к https://services.nvd.nist.gov/rest/json/cves/2.0.
Если доступ к базе данных уязвимостей не открыт, информация будет обновляться с обновлением версии Платформы.
На этой странице отображаются уязвимости, выявленные для экземпляра.
Количество выявленных уязвимостей. В левой панели рядом с названием раздела отображается количество уязвимостей с уровнем «Критический» и «Высокий».
Поисковая строка, с помощью которой уязвимости можно искать по идентификатору.
Фильтр по следующим параметрам:
Уровень критичности: critical, high, medium или low;
Эксплойт: есть ли у уязвимости публичный эксплойт;
Версия метрики: cvssMetricV2 или cvssMetricV3. По умолчанию установлена cvssMetricV3.
Кнопка настройки таблицы. С ее помощью вы можете самостоятельно настроить внешний вид таблицы.
Список уязвимостей с информацией о них:
ID — идентификатор уязвимости. При клике на идентификатор откроется страница с информацией об уязвимости на сайте nvd.nist.gov;
Уязвимые версии.
Описание;
Версия метрики — версия оценки CVSS: v2 или v3;
Вектор атаки — степень удаленности потенциального атакующего от уязвимого объекта: network, local, adjacent network или physical;
CVSS — оценка серьёзности уязвимости по стандарту CVSS. Чем выше оценка, тем серьёзнее уязвимость;
Оценка экcплойта — насколько легко эксплуатировать уязвимость. Чем выше оценка, тем проще эксплуатировать уязвимость;
Эксплойт — есть ли для уязвимости эксплойт, выложенный в открытый доступ;
Рекомендуемые действия — ссылка на инструкцию по устранению уязвимости. Если ссылок несколько, будет отображаться только первая.
Чтобы открыть подробную информацию об уязвимости, щелкните по строке.
В этом окне отображается следующая информация:
Общая информация:
версия метрики: cvssMetricV2 или cvssMetricV3;
дата обнаружения уязвимости;
дата последнего обновления уязвимости;
уязвимые версии;
описание.
Риск профиль:
вектор атаки — степень удаленности потенциального атакующего от уязвимого объекта;
оценка уязвимости — оценка серьёзности уязвимости по стандарту CVSS;
вектор CVSS — значения ключевых метрик уязвимости, на основе которых была вычислена её оценка, в следующем формате: «Метрика:Значение/Метрика:Значение/…». Информация о метриках представлена в таблице ниже.
тип уязвимости — категория уязвимости в базе данных CWE (Common Weakness Enumeration). Перейдите по ссылке, чтобы посмотреть более подробную информацию на сайте cwe.mitre.org.
Эксплойт:
оценка — насколько легко эксплуатировать уязвимость. Чем выше число, тем проще эксплуатация;
наличие публичного эксплойта — выложен ли эксплойт в открытый доступ.
Рекомендуемые действия — список инструкций по устранению уязвимости.
Категория |
Метрика |
Значение |
Описание |
|---|---|---|---|
Метрики влияния |
AV (Attack Vector) Вектор атаки |
N (Сетевой) |
Атака возможна удалённо через сеть |
A (Смежный) |
Атакующий должен иметь доступ к тому же сегменту локальной сети (например, через Wi-Fi) |
||
L (Локальный) |
Атакующий должен иметь доступ доступ к самой системе (например, локальную учетную запись) |
||
P (Физический) |
Атакующий должен иметь физический доступ к системе |
||
AC (Attack Complexity) Сложность атаки |
L (Низкая) |
Для использования уязвимости не нужны специальные условия |
|
M (Средняя) |
Есть дополнительные требования для атаки (например, определяется конкретный источник атаки) |
||
H (Высокая) |
Для использования уязвимости требуются особые условия, которые сложно создать или контролировать |
||
PR (Privileges Required) Необходимые привилегии Для cvssMetricV3 |
N (Нет) |
Для использования уязвимости не нужны учётные записи или права доступа в системе |
|
L (Низкие) |
Для использования уязвимости нужна учётная запись с базовыми пользовательскими правами |
||
H (Высокие) |
Для использования уязвимости необходимы значительные привилегии (права администратора/root) |
||
Au (Authentication) Количество этапов аутентификации Для cvssMetricV2 |
M (Не менее двух) |
Для использования уязвимости атакующий должен аутентифицироваться не менее двух раз, даже если используются одни и те же учётные данные |
|
S (Один) |
Для использования уязвимости атакующий должен аутентифицироваться один раз |
||
N (Не требуется) |
Для использования уязвимости аутентификация не нужна |
||
UI (User Interaction) Взаимодействие с пользователем |
N (Не требуется) |
Для использования уязвимости взаимодействие с пользователем не требуется |
|
R (Требуется) |
Для использования уязвимости необходимо, чтобы пользователь выполнил определённое действие |
||
S (Scope) Область воздействия |
U (Неизменна) |
Успешная атака воздействует только на ресурсы, управляемые тем же компонентом безопасности, в котором находится уязвимость |
|
C (Изменена) |
Успешная атака позволяет воздействовать на ресурсы, находящиеся за пределами исходного компонента безопасности |
||
C (Confidentiality) Степень влияния эксплуатации уязвимости на раскрытие всех данных системы Для cvssMetricV3 |
H (Высокая) |
Потеря конфиденциальности в рамках всего компонента безопасности |
|
L (Низкая) |
Потеря конфиденциальности в пределах некоторых ресурсов компонента |
||
N (Нет) |
Утечки информации нет |
||
C (Confidentiality) Для cvssMetricV2 |
С (Полная) |
Становится доступна вся информация в уязвимом компоненте |
|
P (Частичная) |
Атакующий получает доступ только к некоторой информации |
||
N (Нет) |
Утечки информации нет |
||
I (Integrity) Степень влияния эксплуатации уязвимости на целостность системы Для cvssMetricV3 |
H (Высокая) |
Полное нарушение целостности контролируемого компонента |
|
L (Низкая) |
Ограниченное нарушение целостности |
||
N (Нет) |
Целостность не нарушается |
||
I (Integrity) Для cvssMetricV2 |
С (Полная) |
Атакующий может изменять любую информацию в уязвимом компоненте |
|
P (Частичная) |
Атакующий может изменять только некоторую информацию |
||
N (Нет) |
Целостность данных не нарушается |
||
A (Availability) Степень влияния эксплуатации уязвимости на доступность системы Для cvssMetricV3 |
H (Высокая) |
Полная потеря доступности контролируемого компонента |
|
L (Низкая) |
Ограниченная потеря доступности |
||
N (Нет) |
Доступность не нарушается |
||
A (Availability) Для cvssMetricV2 |
С (Полная) |
Атакующий может полностью вывести ресурс из строя |
|
P (Частичная) |
Атакующий может вызвать снижение производительности или периодическую недоступность ресурса |
||
N (Нет) |
Доступность не нарушается |
||
Временные метрики |
E (Exploitability/ Exploit Code Maturity) Уровень развития эксплойта |
H (Высокий) |
Доступен код эксплойта и он может внедряться в систему автоматизированным способом |
F (Функциональный) |
Существует работающий, надежный эксплойт |
||
P (Proof-of-concept) |
Доступен демонстрационный код эксплойта, но он не универсален и покрывает только один или несколько частных случаев |
||
U (Непроверенный) |
Об уязвимости известно, но нет ни доказательства концепции (PoC), ни публичных эксплойтов |
||
PD/X (Не определен) |
Метрика не влияет на оценку и будет пропущена |
||
RL (Remediation Level) Уровень доступности исправления |
OF (Официальное исправление) |
Доступно полное решение устранения уязвимости от поставщика в виде обновления или в виде патча |
|
TF (Временное исправление) |
есть временное решение, частично смягчающее негативные последствия от уязвимости |
||
W (Дополнительные действия) |
Доступно неофициальное решение или средство защиты от сторонних разработчиков |
||
U (Не доступен) |
Доступного решения нет или предложенное решение невозможно применить |
||
PD/X (Не определен) |
Метрика не влияет на оценку и будет пропущена |
||
RC (Report Confidence) Достоверность описания уязвимости |
C (Подтвержден) |
Вендор официально признал уязвимость |
|
PD/X (Не определен) |
Метрика не влияет на оценку и будет пропущена |
||
UC (Не подтвержден) Для cvssMetricV2 |
Есть единичные непроверенные сообщения |
||
UR (Не доказан) Для cvssMetricV2 |
Есть несколько источников, которые в целом описывают уязвимость одинаково |
||
R (Обоснованный) Для cvssMetricV3 |
Есть отчеты об уязвимости, описывающие причины уязвимости |
||
U (Не подтвержден) Для cvssMetricV3 |
В отчетах отсутствует описание причины уязвимости |
||
Контекстные метрики |
CR (Confidentiality Requirement) Требования к конфиденциальности |
H (Высокие) |
Потеря конфиденциальности окажет катастрофическое воздействие |
M (Средние) |
Потеря конфиденциальности окажет серьезное воздействие |
||
L (Низкие) |
Потеря конфиденциальности будет иметь ограниченное влияние |
||
PD/X (Не определено) |
Метрика не влияет на оценку и будет пропущена |
||
IR (Integrity Requirement) Требования к целостности |
H (Высокие) |
Нарушение целостности окажет катастрофическое воздействие |
|
M (Средние) |
Нарушение целостности окажет серьезное воздействие |
||
L (Низкие) |
Нарушение целостности будет иметь ограниченное влияние |
||
PD/X (Не определено) |
Метрика не влияет на оценку и будет пропущена |
||
AR (Availability Requirement) Требования к доступности |
H (Высокие) |
Потеря доступности окажет катастрофическое воздействие |
|
M (Средние) |
Потеря доступности окажет серьезное воздействие |
||
L (Низкие) |
Потеря доступности будет иметь ограниченное влияние |
||
MAV (Modified Attack Vector), MAC (Modified Attack Complexity), MPR (Modified Privileges Required), MUI (Modified User Interaction), MS (Modified Scope) Модифицированные метрики влияния с учетом конкретной среды |
|||