CVSS v3是否评估漏洞对主机的影响？

Question

最近，在检查了心血漏洞之后，我查看了它的CVSS评分(AV:N/AC:L/Au:N/C:P/I:N/A:N)，并注意到以下(部分)增编：

CVSS V2评分评估漏洞对漏洞所在主机的影响。在评估此漏洞对组织的影响时，请考虑受保护数据的性质，并根据组织的风险接受程度采取行动。

看了一下CVSS，v3，规格文件，我找不到一段文字，可以很好地解释记分系统是否会像它的前辈那样评估这种影响。如果是这样的话，CVSS v3是否仍然根据它对主机的影响来评估它的漏洞？

我之所以问这个问题，是因为心脏出血的评级似乎比它应该被评级的级别(相关)低得多，并且怀疑这种情况是否会在使用CVSS v3的将来的漏洞中再次发生。

Answer 1

是的，确实如此。一个CVSS 3的基础分数是用八个因素计算的：

• 影响取决于:范围、机密性、完整性和可用性。
• 可能性取决于:攻击向量、攻击复杂性、所需权限和用户交互。

了解这些信息的一个好地方是在线计算器。

CVSS和心脏出血的问题在于它没有考虑到链接的漏洞。真正值得关注的是，攻击者对您的VPN服务器使用心脏出血，窃取凭据，使用凭据进行连接，然后对您的网络造成严重破坏。使用CVSS时，您只考虑第一位，因此对机密性和完整性没有影响。对CVSS 2的保密影响是“部分的”而不是“完全的”。

CVSS 3的效果要好一些；我把心脏出血评分为8.6。影响等级现在低/高，而不是部分/完整。即使不完整，心脏出血也会对机密性产生很大的影响。他们还引入了有点模糊的“范围”因素。心脏出血已经改变了作用域，因为您正在访问SSL连接的预期作用域之外的内存。然而，CVSS 3仍然没有考虑到链接的漏洞。

还有CVSS的时间和环境评分，这增加了额外的因素。他们的想法是帮助你测量“这个盒子现在有很大的风险”之类的东西。然而，我发现时间和环境分数很少被使用，也没有什么特别的帮助。

Answer 2

不，它没有。CVSS v3仍然评估影响，但是相对于受影响的组件，而不一定是主机。

考虑一下这样的情况:您完全侵入了一个web应用程序，您获得了管理权限，并且可以读取和操作所有数据。这将对应用程序(即组件)产生严重影响，但对主机或操作系统的影响较小。在CVSS 2中，冲击是相对于主机的，但是在CVSS 3中，它是相对于受影响的组件被评级的。

CVSS v2.0给供应商带来了困难，因为它们会发现漏洞会完全危害到他们的软件，但只会部分影响到主机操作系统。在v2.0中，漏洞与主机操作系统相关，导致一个应用程序供应商采用"Partial+“影响度量约定。CVSSv3.0通过更新影响指标的得分和一个称为范围的新指标(下文将进一步讨论)来解决这个问题。当对CVSSv3.0中的漏洞进行评分时，可开发性度量将相对于易受攻击组件进行评分。也就是说，它们是通过考虑受编码缺陷影响的组件来评分的。另一方面，影响度量是相对于受影响组件进行评分的。

来源

心脏出血是CVSS实例之一，所以这是正确的心血评分的一个很有权威的来源。