CVSS 3.0 计算公式及说明
一、基础评价
1. 基础评价公式为:
当 影响度分值 <= 0: 基础分值 = 0
当 0 < 影响度分值 + 可利用度分值 < 10:
作用域 = 固定: 基础分值 = Roundup(影响度分值 + 可利用度分值)
作用域 = 变化: 基础分值 = Roundup[1.08 × (影响度分值 + 可利用度分值)]
当 影响度分值 + 可利用度分值 > 10:基础分值 = 10
Roundup 保留小数点后一位,小数点后第二位大于零则进一。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0
说明:
漏洞 = 受影响组件 + 脆弱组件
Base metrics 基础评价: 基础评价表示一个漏洞的内在特征,该漏洞随时间和跨用户环境保持不变。它由两组指标组成: 可利用度 和 影响度。
The Base metric group represents the intrinsic characteristics of a vulnerability that are constant over time and across user environments. It is composed of two sets of metrics: the Exploitability metrics and the Impact metrics.
Impact metrics 影响度评价(ISC): 影响度评价反映漏洞被成功利用所造成的直接后果,并表示 受影响组件(Impacted component)的情况。
The Impact metrics reflect the direct consequence of a successful exploit, and represent the consequence to the thing that suffers the impact, which we refer to formally as the impacted component.
Exploitability metrics 可利用度评价: 可利用度评价反映可利用漏洞的易利用性和技术手段难易度。 表示脆弱组件(vulnerable component)受攻击的难易程度。
The Exploitability metrics reflect the ease and technical means by which the vulnerability can be exploited. That is, they represent characteristics of the thing that is vulnerable, which we refer to formally as the vulnerable component.
Scope 影响范围: CVSS3.0版计算的一个重要属性,反映软件组件中的漏洞会否影响其以外的资源或获得其以外的权限。这一结果由度量值 授权域 或 简单域表示。
An important property captured by CVSS v3.0 is the ability for a vulnerability in one software component to impact resources beyond its means, or privileges. This consequence is represented by the metric Authorization Scope, or simply Scope.
取值范围:unchanged(U) 固定:被利用的漏洞只能影响由同一当局管理的资源。在这种情况下,脆弱组件 和 受影响组件是同一个。
changed(C) 变化:被利用的漏洞可能会影响超出脆弱组件预期授权权限的资源。在这种情况下,脆弱组件和受影响组件并非同一个。
2.影响度分值计算公式为:
当 作用域 = 固定: 影响度分值 = 6.42 × ISCbase
当 作用域 = 变化: 影响度分值 = 7.52 × (ISCbase − 0.029) − 3.25 × (ISCbase - 0.02)^15
其中: ISCbase = 1- [(1 - 机密性影响) × (1 - 完整性影响) × (1 - 可用性影响)]
ISCbase 为临时变量
说明:
Confidentiality Impact(C) 机密性影响: 该指标衡量成功利用漏洞对软件组件管理的信息资源的机密性的影响程度。机密 是指仅限于授权用户访问和披露的信息,以及防止未授权用户访问或披露的信息。
This metric measures the impact to the confidentiality of the information resources managed by a software component due to a successfully exploited vulnerability. Confidentiality refers to limiting information access and disclosure to only authorized users, as well as preventing access by, or disclosure to, unauthorized ones.
Integrity Impact(I) 完整性影响: 该指标衡量成功利用漏洞对完整性的影响程度。完整性 是指信息的可靠性和准确性。
This metric measures the impact to integrity of a successfully exploited vulnerability. Integrity refers to the trustworthiness and veracity of information.
Availability Impact(A) 可用性影响: 该指标衡量成功利用漏洞对受影响组件可用性的影响程度。虽然机密性和完整性影响指标适用于受影响组件使用的数据(如信息、文件)的机密性或完整性的损失,但此指标是指受影响组件本身的可用性损失,如网络服务(如Web、数据库、电子邮件)。可用性是指信息资源的可访问性,如消耗网络带宽、处理器周期或磁盘空间的攻击都会影响受影响组件的可用性。
This metric measures the impact to the availability of the impacted component resulting from a successfully exploited vulnerability. While the Confidentiality and Integrity impact metrics apply to the loss of confidentiality or integrity of data (e.g., information, files) used by the impacted component, this metric refers to the loss of availability of the impacted component itself, such as a networked service (e.g., web, database, email). Since availability refers to the accessibility of information resources, attacks that consume network bandwidth, processor cycles, or disk space all impact the availability of an impacted component.
以上三项的取值范围(相同) None(N) 无: 毫无影响。
Low(L) 低: 低程度影响,总体上不会造成重大损失。
High(H) 高: 高度影响,可能会造成严重的损失。
3.可利用度分值计算公式为:
可利用度分值 = 8.22 × 攻击途径 × 攻击复杂度 × 权限要求 × 用户交互
说明:
Attack Vector(AV) 攻击途径:该指标反映了攻击脆弱组件的环境可能。该度量值(以及相应的基本分数)将越大,攻击者攻击脆弱组件的距离(逻辑上和物理上)就越远。
This metric reflects the context by which vulnerability exploitation is possible. This metric value (and consequently the Base score) will be larger the more remote (logically, and physically) an attacker can be in order to exploit the vulnerable component.
取值范围:Network(N) 远程网络: 可远程利用,即此脆弱组件可被一个以上网络跃点的距离进行攻击(例如,跨路由器的第3层边界)。
Adjacent Network(A) 相邻网络:攻击仅限于同一共享物理(如蓝牙、IEEE 802.11)或逻辑(如本地IP子网)网络,并且不能跨OSI第3层边界(如路由器)执行。
Local(L) 本地: 攻击者只能通过本地读/写/执行功能进行攻击。在某些情况下,攻击者可能在本地登录以攻击脆弱组件,或者可能依赖用户交互来执行恶意文件。
Physical(P) 物理: 攻击者只能通过物理方式接触或操作脆弱组件,例如将外围设备连接到系统。
Attack Complexity (AC) 攻击复杂度 :攻击复杂度为攻击者无法控制的条件,这些条件必须存在才能攻击脆弱组件。如下文所述,这些条件可能需要预先收集有关目标或系统的配置或计算异常等更多信息。
The Attack Complexity metric describes the conditions beyond the attacker's control that must exist in order to exploit the vulnerability. As described below, such conditions may require the collection of more information about the target, the presence of certain system configuration settings, or computational exceptions.
取值范围:Low(L) 低复杂度: 攻击者可以随意攻击,不存在惩罚机制。
High(H) 高复杂度: 攻击无法随意完成,攻击者在攻击成功之前,需要对脆弱组件投入大量的准备。
Privilege Required (PR) 权限要求: 此指标描述攻击者在成功攻击脆弱组件之前必须拥有的权限级别。
This metric describes the level of privileges an attacker must possess before successfully exploiting the vulnerability.
取值范围:None(N) 无要求:攻击者在攻击之前无需经过授权,因此不需要访问设置或文件来执行攻击。
Low(L) 低权要求: 攻击者需要拥有基本用户功能的特权,通常只影响普通用户拥有的设置和文件。或者,具有低权限的攻击者可能只能对非敏感资源造成影响。
High(H) 高权要求: 攻击者需要对可能影响组件范围设置和文件的易受攻击组件提供重要(如管理)控制的权限。
User Interaction (UI) 用户交互:此指标描述攻击脆弱组件对除攻击者之外的用户参与的需求,即确定脆弱组件是仅攻击者本身就可以随意利用,还是需要用户(或用户进程)以某种方式参与。
This metric captures the requirement for a user, other than the attacker, to participate in the successful compromise of the vulnerable component. This metric determines whether the vulnerability can be exploited solely at the will of the attacker, or whether a separate user (or user-initiated process) must participate in some manner.
取值范围:None(N) 无需求:不需要任何用户的交互就可以成功攻击此脆弱组件。
Require(R) 有需求:需要用户采取一些措施才能成功攻击此脆弱组件,例如说服用户单击电子邮件中的链接。
二、生命周期评价
1.生命周期评价的计算公式为:
生命周期 = Roundup(基础分值 × 利用度 × 补丁水平 × 报告可信度)
说明:
Temporal 生命周期评价
此指标衡量当前利用技术或代码可用性的状态,是否存在任何补丁或解决方法,或者漏洞报告的可信度。生命周期评价几乎肯定会随着时间的推移而改变。
The Temporal metrics measure the current state of exploit techniques or code availability, the existence of any patches or workarounds, or the confidence that one has in the description of a vulnerability. Temporal metrics will almost certainly change over time.
Exploitability (E) 利用代码成熟度
该指标衡量漏洞被攻击的的可能性,通常基于当前的利用技术状态、利用代码可用性或主动“在野外”利用。漏洞越容易被利用,漏洞得分越高。
This metric measures the likelihood of the vulnerability being attacked, and is typically based on the current state of exploit techniques, exploit code availability, or active, 'in-the-wild' exploitation. The more easily a vulnerability can be exploited, the higher the vulnerability score.
取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。
Unproven that exploit exists(U) 未证明漏洞存在:没有可用的漏洞代码,或者漏洞完全是理论上的。
Proof of concept code(P) 概念验证阶段:概念验证利用代码可用,或者攻击演示对大多数系统都不实用。代码或技术在所有情况下都不起作用,可能需要熟练的攻击者进行大量修改。
Founctional exploit exists(F) 功能性漏洞代码可用: 在存在该漏洞的大多数情况下,代码都可以工作。
High(H) 高度可用: 存在自动功能或者不需要手动触发的代码,且详细被广泛公开。利用代码在任何情况下都有效,或者通过自主代理(如蠕虫或病毒)主动传递。连接网络的系统可能会遭到扫描或利用尝试。开发已达到可靠、广泛可用、易于使用的自动化工具水平。
Remediation Level(RL) 补丁水平:漏洞的修复级别是确定优先级的一个重要因素。典型的漏洞在最初发布时是未修补的。在发布官方补丁或升级之前,解决方法或修复程序可能会提供临时补救措施。这些阶段中的每一个都向下调整时间评分,反映出随着补救成为最终结果而降低的紧迫性。
The Remediation Level of a vulnerability is an important factor for prioritization. The typical vulnerability is unpatched when initially published. Workarounds or hotfixes may offer interim remediation until an official patch or upgrade is issued. Each of these respective stages adjusts the temporal score downwards, reflecting the decreasing urgency as remediation becomes final.
取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。
Offical fix(O) 正式修复补丁:供应商已提供完整的解决方案。供应商已经发布了官方补丁,或者可以升级。
Temporary fix(T) 临时修复补丁:有一个官方但临时的解决方案。这包括供应商发布临时修补程序、工具或解决方案的实例。
Workaround(W) 非官方修复方式:有一个非官方的、非供应商的解决方案。在某些情况下,受影响技术的用户将创建自己的补丁,或提供解决或减轻漏洞的步骤。
Unavailable(U) 无可用修复方案:要么没有可用的解决方案,要么无法应用。
Report Confidence (RC) 报告可信度:该指标衡量对漏洞存在及已知技术细节的可信度。有时只公开存在漏洞,但没有具体细节。该漏洞随后可能会被研究所证实,研究表明漏洞可能存在于何处,尽管研究可能不确定。最后,脆弱性可以通过受影响技术的作者或供应商的公示来确认。
This metric measures the degree of confidence in the existence of the vulnerability and the credibility of the known technical details. Sometimes only the existence of vulnerabilities are publicized, but without specific details. The vulnerability may later be corroborated by research which suggests where the vulnerability may lie, though the research may not be certain. Finally, a vulnerability may be confirmed through acknowledgement by the author or vendor of the affected technology.
取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。
Unknown(U) 未知:存在表明存在漏洞的影响报告。报告对漏洞的原因未知,或者报告描述的可能在漏洞的原因或影响与实际有所不同。报告者对漏洞的真实性质不确定,并且对于报告的有效性或考虑到所描述的差异是否可以应用静态基础分数几乎没有信心。
Reasonable(R) 可信:重要的细节已经公布,但是研究人员或者对根本原因没有完全确定,或者没有可访问的源代码来完全确认可能导致的结果及所有交互作用。然而,存在一定的可信度,即bug是可复制的,并且至少有一个影响可以被验证出来(概念验证出漏洞可被利用)。
Confirmed(C) 已确认:存在详细的报告,或者可以进行功能复制。源代码被用于独立验证研究并得到确证,或者受影响代码的作者或供应商已确认存在该漏洞。
三、环境评价
1.环境评价的计算公式为:
当 影响度 <= 0: 环境评价分值 = 0
当 影响度 > 0 且 无修正:环境评价分值 = Roundup(Roundup (Min[(M.影响度分值 + M.可利用度分值) ,10])× 利用度 × 补丁水平 × 报告可信度)
当 影响度 > 0 且 有修正:环境评价分值 = Roundup(Roundup (Min[1.08 × (M.影响度分值 + M.可利用度分值) ,10]) × 利用度 × 补丁水平 × 报告可信度)
Min 比较前后两值,取小者
M. 代表被修正后的分数,弱对应项无修改,则为原值。
2.影响力修正得分公式为:
作用域 = 固定: 影响度修正分 = 6.42 × ISCModified
作用域 = 变化:影响度修正分 = 7.52 × (ISCModified − 0.029) − 3.25 × (ISCModified - 0.02)^15
其中: ISCModified = Min(1- [(1 - M.机密性影响 × M.机密性需求) × (1 - M.完整性影响 × M.完整性需求) × (1 - M.可用性影响 × M.可用性需求)],0.915)
ISCModified 为临时变量
3.可利用性修正得分公式为:
M.可利用度分值 = 8.22 × M.攻击途径 × M.攻击复杂度 × M.权限需求 × M.用户交互
说明:
Environmental 环境评价: 这些指标使分析师能够根据受影响的IT资产对用户组织的重要性定制CVSS评分,以现有的补充/替代安全控制、机密性、完整性和可用性衡量。这些度量是修改后的基本度量的等价物,并根据组织基础结构中组件的情况的分配分值。
These metrics enable the analyst to customize the CVSS score depending on the importance of the affected IT asset to a user's organization, measured in terms of complementary/alternative security controls in place, Confidentiality, Integrity, and Availability. The metrics are the modified equivalent of base metrics and are assigned metrics value based on the component placement in organization infrastructure
*注:除以下三项以外,其他子项的定义均与原基础评价对应的子项定义一致
Confidentiality Requirement (CR):机密性需求
Integrity Requirement (IR):完整性需求
Availability Requirement (AR):可用性需求
取值范围:Not Defined(X) 未定义:将此值分配给指标不会影响分数。这是一个给得分方程跳过这个指标的信号。
Low(L) 低: 机密性(完整性/可用性) 丧失可能对组织或与组织相关的个人(如员工、客户)产生有限的不利影响。
Medium(M) 中: 机密性(完整性/可用性) 丧失可能对组织或与组织相关的个人(如员工、客户)产生严重不利影响。
High(H) 高: 机密性(完整性/可用性) 可能对组织或与组织相关的个人(如员工、客户)造成灾难性的不利影响。
四、原文