Close

安全问题的严重性级别


严重性级别

Atlassian 安全公告包括严重性级别。此严重性级别基于我们针对每个特定漏洞自行计算的 CVSS 分数。CVSS 是一种行业标准漏洞指标。您可在 FIRST.org 上了解有关 CVSS 的更多信息。

  • 紧急

对于 CVSS v3,Atlassian 使用以下严重性评级体系:

CVSS V3 分数范围
公告中的严重性

0.1 - 3.9

4.0 - 6.9

7.0 - 8.9

9.0 - 10.0

紧急

某些情况下,Atlassian 可能会使用与 CVSS 评分无关的其他因素来确定漏洞的严重性级别。CVSS v3.1 规范支持此方法:

专业提示:

消费者可以使用 CVSS 信息作为组织漏洞管理流程的输入,该流程还会考虑不属于 CVSS 的因素,以便对其技术基础架构的威胁进行排名并做出明智的补救决策。这些因素可能包括:产品线上的客户数量、因违规行为造成的金钱损失、生命或财产受到威胁,或者公众对广泛关注的漏洞的意见。这些不在 CVSS 的范围之内。

在 Atlassian 采用此方法的情况下,我们将说明在公开披露漏洞时考虑了哪些其他因素以及原因。

以下是可能导致特定严重性级别的某些漏洞示例。请记住,此评级未考虑您的安装细节,仅用作指导。

严重性级别:严重

得分在严重范围内的漏洞通常具有以下大多数特征:

  • 利用此漏洞可能会导致服务器或基础设施设备的根级破坏。
  • 利用通常是直截了当的,即攻击者不需要任何特殊的授权凭证或关于个别受害者的知识,也不需要说服目标用户(例如通过社交工程)执行任何特殊功能。

对于严重漏洞,建议您尽快修补或升级,除非您有其他缓解措施。例如,如果无法从网络访问您的安装,则可算作一个缓解因素。

严重性级别:高

处于较高评分范围的漏洞通常具有以下某些特征:

  • 该漏洞很难被利用。
  • 利用漏洞可能导致权限提升。
  • 利用漏洞可能会导致严重的数据丢失或停机。

严重性级别:中

处于中等评分范围的漏洞通常具有以下某些特征:

  • 需要攻击者通过社交工程手段操纵个人受害者的漏洞。
  • 难以设置的拒绝服务漏洞。
  • 要求攻击者与受害者驻留在同一本地网络上的漏洞。
  • 利用漏洞只能提供非常有限的访问权限。
  • 需要用户权限才能成功利用的漏洞。

严重性级别:低

处于低得分范围的漏洞通常对组织的业务影响很小。利用此类漏洞通常需要本地或物理系统访问权限。第三方代码中无法通过 Atlassian 代码访问的漏洞可能会降级为低严重性。