例如,CVE-2017-14491优先级为“高”。
是否有任何正式方法来确定此漏洞的优先级(Canonical 独有)?还是此优先级基于其他供应商的披露?
答案1
这Ubuntu 安全团队的 wiki 页面上的 Bug Triage说优先级别描述于ubuntu-cve-tracker 的自述文件,你可以看到:
Ubuntu 优先事项
这些与 Debian 优先级非常相似,但也有一些区别。优先级可以粗略地映射为:
微不足道 从技术上讲,这是安全问题,但本质上只是理论上的问题,需要非常特殊的情况,几乎没有安装基础,或者没有造成实际损害。这些往往不会从上游获得反向移植,并且可能不会包含在安全更新中,除非有简单的修复方法并且其他问题导致更新。
低的 属于安全问题,但由于环境原因难以利用、需要用户协助攻击、安装量小或危害很小。只有当优先级较高的问题需要更新或积累了大量优先级较低的问题时,才会将这些问题纳入安全更新中。
中等的 有些东西确实存在安全问题,许多人都可利用。包括网络守护进程拒绝服务攻击、跨站点脚本和获取用户权限。应尽快针对此优先级问题进行更新。
高的 这是一个真正的问题,在默认安装中,许多人都可能利用该问题。包括严重的远程拒绝服务、本地 root 权限提升或数据丢失。
批判的 这是一个世界性的问题,几乎所有默认安装 Ubuntu 的人都可能利用它。包括远程 root 权限提升或大量数据丢失。
CVE-2017-14491 具有高优先级,因为 dnsmasq 是默认安装的,并且该漏洞允许远程拒绝服务和代码执行,并且利用起来并不困难。