Nivel de remediación de CVSS para Git Commit

3

¿Qué selecciona como nivel de remediación si solo está disponible una confirmación Git?

Un escenario muy común para esto son las vulnerabilidades en el kernel de Linux, antes de que una solución se convierta en parte de la rama estable, solo está disponible como confirmación.

Las opciones son:

  • No definido (X)
  • No disponible (U)
  • Solución (W)
  • Arreglo temporal (T)
  • Solución oficial (O)

A menudo optamos por Temporary Fix, que podría tener sentido para el kernel de Linux, pero ¿qué pasa con los proyectos Open Source "normales", donde el uso del repositorio Git no es tan común como usar el repositorio del kernel de Linux? Por lo tanto, los clientes no harán este compromiso.

¿Qué piensas? El documental oficial no está claro en este punto.

    
pregunta 0lli.rocks 15.06.2016 - 11:01
fuente

1 respuesta

1

El nivel de remediación es una propiedad de la vulnerabilidad: ¿está arreglado o no?

Apliquemos cada nivel a CVE-2016-3714 para ver un ejemplo concreto:

  • No disponible : no hay ninguna solución o mitigación disponible. La mayoría de los errores comienzan en este nivel
  • Solución alternativa : los desarrolladores aún no han colaborado, pero puede mitigar el riesgo comprobando el número mágico de imágenes cargadas y permitiendo solo los formatos en lista blanca
  • Solución temporal : los desarrolladores están trabajando en un parche, mientras que recomiendan agregar esta política a su archivo policy.xml.
  • Solución oficial : se ha lanzado un parche oficial , debe actualizar su instalación.

La pregunta se convierte así en "¿En qué punto se considera que se ha soltado un parche?"

Esto variará para cada proyecto: para algunos es cuando la solución llega a su rama "troncal", para otros es cuando la actualización llega al actualizador automático, para una distro es cuando llega a los repositorios oficiales.

Es algo que tiene que ser definido por el proyecto y está más allá del alcance de CVSS.

Si no sabe cómo debe definirlo, piense cómo los usuarios se apoderaron de su software en primer lugar y considere todo lo que se haya lanzado a través del mismo canal que se lanzó.

    
respondido por el GnP 05.09.2016 - 22:22
fuente

Lea otras preguntas en las etiquetas