如何确定Ubuntu CVE跟踪器中漏洞的严重性/优先级?
例如, CVE-2017-14491的优先级为“高”。
有没有正式的方法来确定此漏洞的优先级(Canonical独有)? 或者这个优先级是基于其他供应商的披露?
Ubuntu安全团队关于Bug Triage的wiki页面说ubuntu-cve-tracker的README中描述了优先级,你可以在这里看到:
Ubuntu优先事项
这些与Debian优先级非常相似,但有一些差异。 优先级可以大致映射为:
从技术上讲,这是一个安全问题,但只是理论上的,需要非常特殊的情况,几乎没有安装基础,或者没有真正的损害。 这些往往不会从上游返回,并且可能不会包含在安全更新中,除非有一个简单的修复和一些其他问题导致更新。
低某些安全问题,但由于环境难以利用,需要用户辅助攻击,小型安装基础或损坏很小。 只有当优先级较高的问题需要更新或者许多低优先级问题已经建立时,这些通常才会包含在安全更新中。
中等某种东西是一个真正的安全问题,对很多人来说都是可以利用的。 包括网络守护程序拒绝服务攻击,跨站点脚本和获取用户权限。 对于此优先问题,应尽快更新。
高是一个真正的问题,可以在默认安装中被许多人利用。 包括严重的远程拒绝服务,本地root权限升级或数据丢失。
这是一个世界炙手可热的问题,几乎可以在Ubuntu的默认安装中使用。 包括远程root权限提升或大量数据丢失。
CVE-2017-14491具有高优先级,因为默认情况下安装了dnsmasq,并且该错误允许远程服务拒绝和代码执行,并且不是特别难以利用。