-
Notifications
You must be signed in to change notification settings - Fork 0
/
cvss_config.js
734 lines (733 loc) · 39.7 KB
/
cvss_config.js
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
// Copyright FIRST, Red Hat, and contributors
// SPDX-License-Identifier: BSD-2-Clause
cvssConfig = {
"基本指标": {
"fill": "supplier",
"metric_groups": {
"利用难度指标": {
"攻击向量 (AV)": {
"tooltip": "该指标反映了利用漏洞进行攻击的背景环境。该指标(以及响应的严重程度)随着攻击者在逻辑或者物理上距离受攻击系统越远而增大。假设网络中的攻击者数量大于物理访问设备的攻击者数量,那么该漏洞的严重程度更高。",
"short": "AV",
"options": {
"网络 (N)": {
"tooltip": "可以通过网络协议进行攻击,如:互联网",
"value": "N"
},
"相邻网络 (A)": {
"tooltip": "可以通过逻辑相邻的协议进行攻击,如:蓝牙、NFC,者本地的子网或者MPLS和VPN域内",
"value": "A"
},
"本地网络 (L)": {
"tooltip": "可以通过读、写、执行等权限进行攻击,攻击者可以通过本地访问目标系统,如:键盘、控制台、终端(SSH)或者攻击者利用另一个用户来执行利用漏洞(社会工程学)",
"value": "L"
},
"物理访问 (P)": {
"tooltip": "攻击者需要物理接触或操纵易受攻击的系统。物理交互可以是短暂的或持续的。",
"value": "P"
}
},
"selected": "N"
},
"攻击复杂度 (AC)": {
"tooltip": "该指标反映攻击者必须采取的多余的行动,以主动规避或绕过现有的内置安全条件以获得有效的利用方式。这些条件的主要目的是增加安全性或增加漏洞的利用复杂度。",
"short": "AC",
"options": {
"低 (L)": {
"tooltip": "攻击者无需采取任何多余的行动,无需特定的规避措施来利用漏洞。攻击者可以预期在易受攻击的系统上重复成功。",
"value": "L"
},
"高 (H)": {
"tooltip": "成功的攻击取决于规避或者绕过现有的安全技术,否则这些技术将会阻碍攻击。这些规避和绕过技术包括:绕过地址随机化(ASLR)或者数据执行预防(DEP)才能执行攻击;需收集特定的目标机密信息才能执行攻击。机密信息是指无论通过多少侦察都无法获得的任何信息。为了获取机密信息,攻击者必须执行额外的攻击或突破其他安全措施(例如:可能需要知道一个密钥来破解加密通道)。这个操作必须针对每个攻击目标执行",
"value": "H"
}
},
"selected": "L"
},
"攻击要求 (AT)": {
"tooltip": "该指标反映易受攻击系统的先决部署和执行条件或变量。这不同于安全技术(参考AC),因为该指标的主要目的不是明确减轻攻击,二十由于易受攻击系统的部署和执行自然出现的",
"short": "AT",
"options": {
"无 (N)": {
"tooltip": "成功的攻击不依赖易受攻击系统的部署和执行条件。攻击者可以预取能够在大多数易受攻击系统中执行漏洞并利用",
"value": "N"
},
"存在 (P)": {
"tooltip": "成功的攻击取决于易受攻击系统特定的部署或执行。这些条件包括:通过条件竞争才能成功利用的漏洞;攻击者必须处于目标和受害者之间的逻辑网络上(中间人攻击)",
"value": "P"
}
},
"selected": "N"
},
"特权要求 (PR)": {
"tooltip": "该指标反映了攻击这在成功利用漏洞之前必须具备的特权级别。攻击者在攻击之前获取特权凭证的方式(例如:试用账户)超出了该指标的范围。通常情况下,如果攻击者可以在攻击过程中授予自己特权,则不构成特权要求",
"short": "PR",
"options": {
"无 (N)": {
"tooltip": "在攻击前,攻击者是未授权的,因此不需要访问易受攻击系统的任何设置或文件来进行攻击",
"value": "N"
},
"低 (L)": {
"tooltip": "攻击者需要提供基本功能的特权,这些功能通常仅限于单个低权限用户可以访问的设置、资源。",
"value": "L"
},
"高 (H)": {
"tooltip": "攻击者需要重要特权(如管理员权限)才能对易受攻击系统拥有全面的控制,从而可以完全访问易受攻击系统的设置文件。",
"value": "H"
}
},
"selected": "N"
},
"交互 (UI)": {
"tooltip": "该指标反映除攻击者之外的用户参与成功攻击的要求。该指标确定漏洞是否仅能由攻击者自行利用,或者是否需要另一个用户(或者由用户启动的进程)以某种方式参与攻击",
"short": "UI",
"options": {
"无 (N)": {
"tooltip": "不需要任何用户参与即可被攻击者利用。",
"value": "N"
},
"被动的 (P)": {
"tooltip": "成功利用此漏洞需要目标用户与易受攻击系统和攻击者的恶意载荷进行有限的交互。这些交互是非自愿的,且不需要用户绕过安全机制。",
"value": "P"
},
"主动的 (A)": {
"tooltip": "成功利用此漏洞需要目标用户有意识地对易受攻击系统和攻击者的恶意载荷进行特定的交互,或者需要用户绕过安全机制导致漏洞被利用",
"value": "A"
}
},
"selected": "N"
}
},
"易受攻击系统影响指标": {
"机密性 (VC)": {
"tooltip": "该指标衡量由于成功利用漏洞而对易受攻击系统的信息的保密性产生的影响。保密性是指将信息的访问和披露限制在授权用户之间,并防止未授权的用户访问或披露该信息。",
"short": "VC",
"options": {
"高 (H)": {
"tooltip": "在这种情况下,保密性完全丧失,导致弱点系统中的所有信息都被泄露给攻击者。或者攻击者只能获取部分受限的信息,但泄露的信息具有直接而严重的影响。如:攻击者窃取了管理员的密码或Web服务的私钥.",
"value": "H"
},
"低 (L)": {
"tooltip": "在这种情况下,保密性有所损失。攻击者可以获取到一些受限的信息,但是攻击者无法控制获取的信息内容,或者损失的数量和种类是有限的。信息的泄露并不会对易受攻击系统造成直接且严重的损失。",
"value": "L"
},
"无 (N)": {
"tooltip": "没有任何保密性损失。",
"value": "N"
}
},
"selected": "N"
},
"完整性 (VI)": {
"tooltip": "该指标衡量了成功利用漏洞对完整性的影响。完整性指的是信息的可信度和真实性。当攻击者对系统数据进行未授权的修改时,弱点系统的完整性收到影响。当系统用户可以否认在系统环境中采取的关键操作时(如:缺少日志),完整性也受到影响。",
"short": "VI",
"options": {
"高 (H)": {
"tooltip": "在这种情况下,完整性完全丧失,或者说保护措施完全丧失。如:攻击者能够修改由易受攻击系统的任何文件。或者只能修改一些文件,但恶意修改会对弱点系统造成直接且严重的后果",
"value": "H"
},
"低 (L)": {
"tooltip": "在这种情况下,数据的修改是可能的,但攻击者无法控制修改的后果,或修改的数量是有限的。数据的修改不会对弱点系统造成直接且严重的影响。",
"value": "L"
},
"无 (N)": {
"tooltip": "没有任何完整性损失。",
"value": "N"
}
},
"selected": "N"
},
"可用性 (VA)": {
"tooltip": "该指标衡量了成功利用漏洞对易受攻击系统可用性的影响。尽管保密性和完整性的影响指标适用于系统使用的数据(如:信息、文件)的保密性或完整性损失,但此指标指的是受影响系统本身的可用性损失,如网络服务(网站、数据库、电子邮件)。由于可用性指的是信息资源的可访问性,因此消耗网络带宽、处理器周期或磁盘空间的攻击都会对系统的可用性产生影响。",
"short": "VA",
"options": {
"高 (H)": {
"tooltip": "在这种情况下,可用性完全丧失,导致攻击者能够完全组织对易受攻击系统中资源的访问;这种损失可能是持续性的(攻击者持续进行攻击)或者持久的(攻击完成后仍然存在)。或者攻击者可以剥夺一些可用性,但可用性的损失对易受攻击系统造成直接且严重的后果(如:攻击者无法中断现有连接,但可以阻止新连接;攻击者可反复利用一个漏洞,但每次攻击只泄露少量内存,经过多次利用后导致服务不可用)。",
"value": "H"
},
"低 (L)": {
"tooltip": "在这种情况下,性能会降低或资源可用性会终端。即使可以反复利用漏洞,攻击者也无法完全拒绝合法用户的服务,易受攻击系统中的资源在某些时间可能完全可用,而在其他时间可能只是部分可用,但总体上对易受攻击系统没有直接且严重的后果。",
"value": "L"
},
"无 (N)": {
"tooltip": "没有任何可用性影响。",
"value": "N"
}
},
"selected": "N"
}
},
"后续影响指标": {
"机密性 (SC)": {
"tooltip": "这个指标衡量由成功利用漏洞而对后续系统管理的信息机密性的影响。机密性指的是将信息的防火和披露限制在授权用户之间,并防止未授权用户访问或披露。",
"short": "SC",
"options": {
"高 (H)": {
"tooltip": "在这种情况下,机密性完全丧失,导致后续系统中所有资源都被泄露给攻击者。或者攻击者只能获取到一些受限信息,但所披露的信息具有直接且严重的影响。",
"value": "H"
},
"低 (L)": {
"tooltip": "存在一定程度的机密性损失。攻击者获得了一些受限信息的访问权限,但攻击者无法控制所获取的信息、损失的数量或种类受到限制。信息披露不回对后续系统造成直接且严重的损失。",
"value": "L"
},
"无 (N)": {
"tooltip": "没有机密性损失,或者机密性影响在易受攻击系统内部。",
"value": "N"
}
},
"selected": "N"
},
"完整性 (SI)": {
"tooltip": "该指标衡量成功利用漏洞对完整性的影响。完整性指的是信息的可信度和真实性。当攻击者对系统数据进行未经授权的修改时,后续系统的完整性会受到影响。当系统用户可以否认在系统上下文中采取的重要操作(例如,由于日志记录不足)时,也会影响完整性。",
"short": "SI",
"options": {
"高 (H)": {
"tooltip": "完整性完全丧失,或者保护机制完全丧失。例如,攻击者能够修改由后续系统保护的任何/所有文件。或者,只有一些文件可以被修改,但恶意修改将对后续系统产生直接而严重的后果。",
"value": "H"
},
"低 (L)": {
"tooltip": "可以对数据进行修改,但攻击者无法控制修改的后果,或者修改的数量受到限制。数据的修改对后续系统没有直接且严重的影响。",
"value": "L"
},
"无 (N)": {
"tooltip": "没有完整性损失,或者完整性影响在易受攻击系统内部。",
"value": "N"
}
},
"selected": "N"
},
"可用性 (SA)": {
"tooltip": "该指标衡量由成功利用漏洞而导致的后续系统可用性的影响。尽管保密性和完整性的影响指标适用于系统使用的数据(例如信息、文件)的保密性或完整性的损失,但该指标是指受影响系统本身的可用性丧失,例如网络服务(例如网站、数据库、电子邮件)。由于可用性指的是信息资源的可访问性,攻击可能消耗网络带宽、处理器周期或磁盘空间,从而影响系统的可用性。",
"short": "SA",
"options": {
"高 (H)": {
"tooltip": "完全丧失可用性,导致攻击者能够完全拒绝访问后续系统中的资源;这种损失可能是持续性的(攻击者持续发动攻击)或持久性的(即使攻击结束后,条件仍然存在)。或者,攻击者有能力剥夺一部分可用性,但可用性的损失对后续系统产生直接且严重的后果(例如,攻击者无法中断现有连接,但可以阻止新的连接;攻击者可以重复利用一个漏洞,在每次成功攻击中泄露少量内存,但经过重复利用后导致服务完全不可用)。",
"value": "H"
},
"低 (L)": {
"tooltip": "性能降低或资源可用性中断。即使可以重复利用漏洞,攻击者也无法完全拒绝合法用户的服务。后续系统中的资源要么部分时间可用,要么只有部分时间完全可用,但整体上对后续系统没有直接且严重的后果。",
"value": "L"
},
"无 (N)": {
"tooltip": "没有可用性损失,或者可用性影响在易受攻击系统内部。",
"value": "N"
}
},
"selected": "N"
}
}
}
},
"补充指标": {
"fill": "supplier",
"metric_groups": {
"": {
"安全 (S)": {
"tooltip": "当系统具有预期的使用或与安全相关的用途时,利用该系统内的漏洞可能会对安全产生影响,这可以在补充指标组中表示出来。缺乏提供安全指标并不意味着可能没有与安全相关的影响。",
"short": "S",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估",
"value": "X"
},
"可忽略的 (N)": {
"tooltip": "该漏洞后果符合IEC 61508标准中“可忽略”的后果类别的定义。",
"value": "N"
},
"存在的 (P)": {
"tooltip": "该漏洞的后果符合IEC 61508标准中“临界”、“关键”和“严重”的后果类别的定义",
"value": "P"
}
},
"selected": "X"
},
"自动化 (AU)": {
"tooltip": "“自动化”指标根据杀伤链(Kill chain) [Hutchins等,2011]中的步骤1-4来回答以下问题:“攻击者能否自动化利用此漏洞对多个目标进行攻击?”这些步骤包括:侦察、武器化、投递、利用",
"short": "AU",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"否 (N)": {
"tooltip": "由于某些原因,攻击者无法自动化该漏洞的杀伤链的所有四个步骤。",
"value": "N"
},
"是 (Y)": {
"tooltip": "攻击者能够自动化该漏洞的杀伤链的所有四个步骤。这意味着该漏洞具有蠕虫化的特性。",
"value": "Y"
}
},
"selected": "X"
},
"恢复性 (R)": {
"tooltip": "恢复性描述了系统在遭受攻击后,在性能和可靠性方面恢复服务的能力。",
"short": "R",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"自动的 (A)": {
"tooltip": "攻击后可自动恢复。",
"value": "A"
},
"用户 (U)": {
"tooltip": "攻击后需要用户干预才能恢复。",
"value": "U"
},
"不可恢复 (I)": {
"tooltip": "攻击后用户无法恢复。",
"value": "I"
}
},
"selected": "X"
},
"价值密度 (V)": {
"tooltip": "价值密度描述了攻击者通过单次利用事件将获得对资源的控制权",
"short": "V",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"分散性 (D)": {
"tooltip": "易受攻击系统具有有限的资源。也就是说,攻击者通过单词攻击获得的资源控制权相对较小。如:对单个电子邮箱客户端漏洞的攻击。",
"value": "D"
},
"集中性 (C)": {
"tooltip": "易受攻击系统资源丰富。这类系统通常是“系统操作员”而非用户的直接责任。如:对电子邮箱服务器进行攻击。",
"value": "C"
}
},
"selected": "X"
},
"漏洞响应工作 (RE)": {
"tooltip": "漏洞响应工作指标的目的是提供有关消费者在其基础设施中部署的产品和服务收到漏洞影响时提供初始响应难度的补充信息。消费者可以在应用缓解措施和(或)安排修复工作时考虑到这些额外的工作量.",
"short": "RE",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"低 (L)": {
"tooltip": "响应所需要的工作量低。如:改进文档、配置或从供应商获取指导,而无需消费者立即进行更新、升级或替换。",
"value": "L"
},
"中 (M)": {
"tooltip": "响应所需要的工作量适中,需要消费者完成一些工作,且可能产生一些影响。如:简单的远程更新、停用子系统或进行低干预的软件升级(如:驱动更新)。",
"value": "M"
},
"高 (H)": {
"tooltip": "响应所需要的工作量是重大且(或)困难的,可能导致延长的、计划的服务影响。这需要考虑调度目的,包括遵守对所选响应部署的任何禁令。或者,无法远程对漏洞进行响应。解决漏洞的唯一方法涉及物理更换(例如,部署的设备必须被召回进行维修或更换)。例如:高特权级别的驱动程序更新、微码或UEFI BIOS更新,或者在实施之前需要仔细分析和了解潜在基础设施影响的软件升级。最近的一个例子是UEFI BIOS更新,它对可信平台模块(TPM)的证明产生影响,而不影响磁盘加密软件(如 BitLocker)。无法修复的故障,如无法启动的闪存子系统、故障磁盘或固态硬盘(SSD)、坏内存模块、网络设备或其他在保修期内无法恢复的硬件,也应评为高工作量。",
"value": "H"
}
},
"selected": "X"
},
"供应商紧急性 (U)": {
"tooltip": "为了便于将供应商纳入评估标准,提供了一个可选的补充指标,称为供应商紧急性。注意:产品供应链中评估任何供应商都可以是供应商紧急性指标,但是倒数第二产品供应商最适合该指标。",
"short": "U",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"无": {
"tooltip": "供应商评估该漏洞没有紧急性.",
"value": "Clear"
},
"低": {
"tooltip": "供应商评估该漏洞是低紧急性的。",
"value": "Green"
},
"中": {
"tooltip": "供应商评估该漏洞是中紧急性的。",
"value": "Amber"
},
"高": {
"tooltip": "供应商评估该漏洞是高紧急性的。",
"value": "Red"
}
},
"selected": "X"
}
}
}
},
"环境(修改的基本指标)": {
"fill": "consumer",
"metric_groups": {
"可利用性指标": {
"攻击向量 (MAV)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标反映了可以用漏洞的环境。此指标(以及由此产生的严重性)越大,攻击者攻击就越远(逻辑上和物理上)。如果可以从网络中攻击的潜在攻击者大于物理访问的攻击者数量,则更严重。",
"short": "MAV",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"网络 (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
},
"相邻 (A)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "A"
},
"本地 (L)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "L"
},
"物理 (P)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "P"
}
},
"selected": "X"
},
"攻击复杂度 (MAC)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标捕捉到攻击者必须采取的可衡量行动,以主动规避或绕过现有的内置安全增强条件,以获取有效的利用代码。这些条件的主要目的是提高安全性和/或增加利用工程的复杂性。与需要特制的漏洞相比,可以在不需要特定目标变量的情况下利用的漏洞具有较低的复杂性。该度量标准旨在捕捉被易受攻击系统使用的安全机制。",
"short": "MAC",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"低 (L)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "L"
},
"高 (H)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "H"
}
},
"selected": "X"
},
"攻击要求 (MAT)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标捕捉到易受攻击系统的先决部署和执行条件或变量,这些条件或变量使攻击成为可能。与增强安全性的技术/技术(参考攻击复杂性)不同,这些条件的主要目的不是明确地缓解攻击,而是作为易受攻击系统的部署和执行的自然结果而出现。",
"short": "MAT",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"无 (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
},
"存在 (P)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "P"
}
},
"selected": "X"
},
"所需权限 (MPR)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标描述了攻击者在成功利用漏洞之前必须具备的权限级别。攻击者在攻击之前获取特权凭据的方式(例如,免费试用账户)不在该指标的范围内。通常情况下,如果攻击者可以在攻击的过程中授予自己特权,则自助配置的账户不构成特权要求。",
"short": "MPR",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"无 (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
},
"低 (L)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "L"
},
"高 (H)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "H"
}
},
"selected": "X"
},
"用户交互 (MUI)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标捕捉到除了攻击者之外,其他人类用户在成功攻击易受攻击系统时的参与要求。该指标确定了漏洞是否可以完全由攻击者自行利用,或者是否需要一个单独的用户(或用户发起的过程)以某种方式参与。",
"short": "MUI",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"None (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
},
"Passive (P)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "P"
},
"Active (A)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "A"
}
},
"selected": "X"
}
},
"易受攻击系统影响指标": {
"机密性 (MVC)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标衡量由于成功利用漏洞而对易受攻击系统管理的信息的机密性产生的影响。机密性指的是将信息访问和披露限制在仅授权用户之间,并防止未经授权的用户访问或披露该信息。",
"short": "MVC",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"高 (H)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "H"
},
"低 (L)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "L"
},
"无 (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
}
},
"selected": "X"
},
"完整性 (MVI)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标衡量成功利用漏洞对完整性造成的影响。完整性指信息的可信性和真实性。当攻击者对系统数据进行未经授权的修改时,易受攻击系统的完整性受到影响。当系统用户可以否认在系统上下文中采取的关键操作时(例如,由于日志记录不足),也会影响完整性。",
"short": "MVI",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"高 (H)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "H"
},
"低 (L)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "L"
},
"无 (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
}
},
"selected": "X"
},
"可用性 (MVA)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标衡量成功利用漏洞对易受攻击系统可用性造成的影响。尽管机密性和完整性的影响指标适用于系统使用的数据(例如信息、文件)的机密性或完整性丧失,但该指标指的是受影响系统本身的可用性丧失,例如网络服务(例如Web、数据库、电子邮件)。由于可用性指的是信息资源的可访问性,消耗网络带宽、处理器周期或磁盘空间的攻击都会影响系统的可用性。",
"short": "MVA",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"高 (H)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "H"
},
"低 (L)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "L"
},
"无 (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
}
},
"selected": "X"
}
},
"后续系统影响性": {
"机密性 (MSC)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标衡量成功利用漏洞对后续系统管理的信息的机密性产生的影响。机密性指的是将信息访问和披露限制在仅授权用户之间,并防止未经授权的用户访问或披露该信息。",
"short": "MSC",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"": {
},
"高 (H)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "H"
},
"低 (L)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "L"
},
"可忽略 (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
},
},
"selected": "X"
},
"完整性 (MSI)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标衡量成功利用漏洞对完整性造成的影响。完整性指信息的可信性和真实性。当攻击者对系统数据进行未经授权的修改时,后续系统的完整性受到影响。当系统用户可以否认在系统上下文中采取的关键操作时(例如,由于日志记录不足),也会影响完整性。除了系统的逻辑定义为感兴趣系统之外,后续系统还可能包括对人员的影响。",
"short": "MSI",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"安全 (S)": {
"tooltip": "如果利用的漏洞会对人类参与者造成严重伤害或更严重后果(如IEC 61508中描述的“临界”或更糟的类别),则会对完整性产生影响。",
"value": "S"
},
"高 (H)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "H"
},
"低 (L)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "L"
},
"可忽略 (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
}
},
"selected": "X"
},
"可用性 (MSA)": {
"tooltip": "这些指标使消费者分析师能够根据用户环境的特定特征覆盖个别基本指标。该指标衡量成功利用漏洞对后续系统可用性的影响。尽管机密性和完整性的影响指标适用于系统使用的数据(例如信息、文件)的机密性或完整性丧失,但该指标指的是受影响系统本身的可用性丧失,例如网络服务(例如Web、数据库、电子邮件)。由于可用性指的是信息资源的可访问性,消耗网络带宽、处理器周期或磁盘空间的攻击都会影响系统的可用性。除了为感兴趣系统定义的逻辑系统之外,后续系统还可能对人类造成影响。",
"short": "MSA",
"options": {
"未定义 (X)": {
"tooltip": "该指标尚未进行评估。",
"value": "X"
},
"安全 (S)": {
"tooltip": "如果利用的漏洞会对人类参与者造成严重伤害或更严重后果(如IEC 61508中描述的“临界”或更糟的类别),则会对可用性产生影响。",
"value": "S"
},
"高 (H)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "H"
},
"低 (L)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "L"
},
"可忽略 (N)": {
"tooltip": "该指标与上面定义的基本指标相同。",
"value": "N"
}
},
"selected": "X"
}
}
}
},
"环境(安全要求)": {
"fill": "consumer",
"metric_groups": {
"": {
"机密要求 (CR)": {
"tooltip": "该指标使消费者能够根据受影响的IT资产对分析师所在组织的重要性进行自定义评估,以机密性为衡量标准。换句话说,如果某个IT资产支持的业务功能对机密性最为重要,分析师可以相对于完整性和可用性给予机密性指标更高的权重。",
"short": "CR",
"options": {
"未定义 (X)": {
"tooltip": "分配这个值表示没有足够的信息来选择其他值之一,并且对整体环境评分没有影响。",
"value": "X"
},
"高 (H)": {
"tooltip": "机密性的丧失可能对组织或与组织相关的个人产生灾难性的不利影响。",
"value": "H"
},
"中 (M)": {
"tooltip": "机密性的丧失可能对组织或与组织相关的个人产生严重的不利影响。",
"value": "M"
},
"低 (L)": {
"tooltip": "机密性的丧失可能仅对组织或与组织相关的个人产生有限的不利影响。",
"value": "L"
}
},
"selected": "X"
},
"完整性要求 (IR)": {
"tooltip": "该指标使消费者能够根据受影响的IT资产对分析师所在组织的重要性进行自定义评估,以完整性为衡量标准。换句话说,如果某个IT资产支持的业务功能对完整性最为重要,分析师可以相对于机密性和可用性给予完整性指标更高的权重。",
"short": "IR",
"options": {
"未定义 (X)": {
"tooltip": "分配这个值表示没有足够的信息来选择其他值之一,并且对整体环境评分没有影响。",
"value": "X"
},
"高 (H)": {
"tooltip": "完整性的丧失可能对组织或与组织相关的个人产生灾难性的不利影响。",
"value": "H"
},
"中 (M)": {
"tooltip": "完整性的丧失可能对组织或与组织相关的个人产生灾难性的不利影响。",
"value": "M"
},
"低 (L)": {
"tooltip": "完整性的丧失可能仅对组织或与组织相关的个人产生有限的不利影响。",
"value": "L"
}
},
"selected": "X"
},
"可用性要求 (AR)": {
"tooltip": "该指标使消费者能够根据受影响的IT资产对分析师所在组织的重要性进行自定义评估,以可用性为衡量标准。换句话说,如果某个IT资产支持的业务功能对可用性最为重要,分析师可以相对于机密性和完整性给予可用性指标更高的权重。",
"short": "AR",
"options": {
"未定义 (X)": {
"tooltip": "分配这个值表示没有足够的信息来选择其他值之一,并且对整体环境评分没有影响。",
"value": "X"
},
"高 (H)": {
"tooltip": "可用性的丧失可能对组织或与组织相关的个人产生灾难性的不利影响。",
"value": "H"
},
"中 (M)": {
"tooltip": "可用性的丧失可能对组织或与组织相关的个人产生严重的不利影响。",
"value": "M"
},
"低 (L)": {
"tooltip": "可用性的丧失可能仅对组织或与组织相关的个人产生有限的不利影响。",
"value": "L"
}
},
"selected": "X"
}
}
}
},
"威胁指标": {
"fill": "consumer",
"metric_groups": {
"": {
"利用情报 (E)": {
"tooltip": "该指标衡量了漏洞受到攻击的可能性,通常基于当前的攻击技术状态、攻击代码的可用性或实际的“在野”攻击情况。根据有关攻击代码/过程的可用性和攻击技术状态的信息,CVSS的使用者有责任填写攻击情报(E)的值。这些信息通常被称为“威胁情报”。",
"short": "E",
"options": {
"未定义 (X)": {
"tooltip": "利用情报未被使用。可靠的威胁情报不可用,无法确定攻击成熟度的特征。.",
"value": "X"
},
"在野利用 (A)": {
"tooltip": "根据威胁情报来源,以下情况之一必须适用:\n已报告有针对该漏洞的攻击(尝试或成功)\n简化利用该漏洞的解决方案已公开或私下可用(如利用工具包)",
"value": "A"
},
"概念验证 (P)": {
"tooltip": "根据威胁情报来源,以下每个条件都必须适用:\n验证概念公开可用\n没有关于已报告的利用该漏洞的尝试的信息\n没有关于公开可用的用于简化利用该漏洞尝试的解决方案的信息",
"value": "P"
},
"无报告 (U)": {
"tooltip": "根据威胁情报来源,以下每个条件都必须适用:\n没有关于公开可用的验证概念的信息\n没有关于已报告的利用该漏洞的尝试的信息\n没有关于公开可用的用于简化利用该漏洞尝试的解决方案的信息",
"value": "U"
}
},
"selected": "X"
}
}
}
}
}