通用漏洞評估方法CVSS 3.0 計算公式及說明

CVSS 3.0 計算公式及說明

1、基礎評價

1. 基礎評價公式爲：

　　當 影響度分值 <= 0: 基礎分值 = 0

　　當 0 < 影響度分值 + 可利用度分值 < 10:

　　　　做用域 = 固定： 基礎分值 = Roundup(影響度分值 + 可利用度分值)

　　　　做用域 = 變化： 基礎分值 = Roundup[1.08 × (影響度分值 + 可利用度分值)]

　　當 影響度分值 + 可利用度分值 > 10：基礎分值 = 10

　　Roundup   保留小數點後一位，小數點後第二位大於零則進一。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0

 

 

說明：

　　　　　

　  漏洞 = 受影響組件 + 脆弱組件

　　Base metrics 基礎評價: 基礎評價表示一個漏洞的內在特徵，該漏洞隨時間和跨用戶環境保持不變。它由兩組指標組成： 可利用度 和 影響度。

The Base metric group represents the intrinsic characteristics of a vulnerability that are constant over time and across user environments. It is composed of two sets of metrics: the Exploitability metrics and the Impact metrics. 

　　Impact metrics  影響度評價(ISC): 影響度評價反映漏洞被成功利用所形成的直接後果，並表示 受影響組件（Impacted component）的狀況。

The Impact metrics reflect the direct consequence of a successful exploit, and represent the consequence to the thing that suffers the impact, which we refer to formally as the impacted component.

　　Exploitability  metrics  可利用度評價: 可利用度評價反映可利用漏洞的易利用性和技術手段難易度。 表示脆弱組件（vulnerable component）受攻擊的難易程度。

The Exploitability metrics reflect the ease and technical means by which the vulnerability can be exploited. That is, they represent characteristics of the thing that is vulnerable, which we refer to formally as the vulnerable component. 

 

　　Scope 影響範圍: CVSS3.0版計算的一個重要屬性，反映軟件組件中的漏洞會否影響其之外的資源或得到其之外的權限。這一結果由度量值 受權域 或 簡單域表示。

An important property captured by CVSS v3.0 is the ability for a vulnerability in one software component to impact resources beyond its means, or privileges. This consequence is represented by the metric Authorization Scope, or simply Scope. 

　　取值範圍：unchanged(U) 固定：被利用的漏洞只能影響由同一當局管理的資源。在這種狀況下，脆弱組件 和 受影響組件是同一個。

　　　　　　　 changed(C)  變化：被利用的漏洞可能會影響超出脆弱組件預期受權權限的資源。在這種狀況下，脆弱組件和受影響組件並不是同一個。

 

2.影響度分值計算公式爲：

　　當 做用域 = 固定： 影響度分值 = 6.42 × ISCbase

　　當 做用域 = 變化： 影響度分值 = 7.52 × (ISCbase − 0.029) − 3.25 × (ISCbase - 0.02)^15

　　其中： ISCbase = 1- [(1 - 機密性影響) × (1 - 完整性影響) × (1 - 可用性影響)]

　　ISCbase 爲臨時變量

 

說明：

　　Confidentiality Impact(C) 機密性影響: 該指標衡量成功利用漏洞對軟件組件管理的信息資源的機密性的影響程度。機密 是指僅限於受權用戶訪問和披露的信息，以及防止未受權用戶訪問或披露的信息。

This metric measures the impact to the confidentiality of the information resources managed by a software component due to a successfully exploited vulnerability. Confidentiality refers to limiting information access and disclosure to only authorized users, as well as preventing access by, or disclosure to, unauthorized ones.

 

　　Integrity Impact(I) 完整性影響: 該指標衡量成功利用漏洞對完整性的影響程度。完整性 是指信息的可靠性和準確性。

This metric measures the impact to integrity of a successfully exploited vulnerability. Integrity refers to the trustworthiness and veracity of information.

　　Availability Impact(A) 可用性影響: 該指標衡量成功利用漏洞對受影響組件可用性的影響程度。雖然機密性和完整性影響指標適用於受影響組件使用的數據（如信息、文件）的機密性或完整性的損失，但此指標是指受影響組件自己的可用性損失，如網絡服務（如Web、數據庫、電子郵件）。可用性是指信息資源的可訪問性，如消耗網絡帶寬、處理器週期或磁盤空間的攻擊都會影響受影響組件的可用性。

This metric measures the impact to the availability of the impacted component resulting from a successfully exploited vulnerability. While the Confidentiality and Integrity impact metrics apply to the loss of confidentiality or integrity of data (e.g., information, files) used by the impacted component, this metric refers to the loss of availability of the impacted component itself, such as a networked service (e.g., web, database, email). Since availability refers to the accessibility of information resources, attacks that consume network bandwidth, processor cycles, or disk space all impact the availability of an impacted component.

 

　　以上三項的取值範圍（相同）　　None(N) 無: 毫無影響。

　　　　　　　　　　　　　　　　　　 Low(L)  低: 低程度影響，整體上不會形成重大損失。

　　　　　　　　　　　　　　　　　High(H) 高: 高度影響，可能會形成嚴重的損失。

 

 

3.可利用度分值計算公式爲：

　可利用度分值 = 8.22 × 攻擊途徑 × 攻擊複雜度 × 權限要求 × 用戶交互

 

說明：

　　Attack Vector(AV) 攻擊途徑：該指標反映了攻擊脆弱組件的環境可能。該度量值（以及相應的基本分數）將越大，攻擊者攻擊脆弱組件的距離（邏輯上和物理上）就越遠。

　　This metric reflects the context by which vulnerability exploitation is possible. This metric value (and consequently the Base score) will be larger the more remote (logically, and physically) an attacker can be in order to exploit the vulnerable component.

　　取值範圍：Network(N) 遠程網絡: 可遠程利用，即此脆弱組件可被一個以上網絡躍點的距離進行攻擊（例如，跨路由器的第3層邊界）。

　　　　 　　　Adjacent Network(A) 相鄰網絡：攻擊僅限於同一共享物理（如藍牙、IEEE 802.11）或邏輯（如本地IP子網）網絡，而且不能跨OSI第3層邊界（如路由器）執行。

　　　　 　　  Local(L) 本地: 攻擊者只能經過本地讀/寫/執行功能進行攻擊。在某些狀況下，攻擊者可能在本地登陸以攻擊脆弱組件，或者可能依賴用戶交互來執行惡意文件。

　　　　　　　 Physical(P) 物理: 攻擊者只能經過物理方式接觸或操做脆弱組件，例如將外圍設備鏈接到系統。

 

　　Attack Complexity (AC) 攻擊複雜度 ：攻擊複雜度爲攻擊者沒法控制的條件，這些條件必須存在才能攻擊脆弱組件。以下文所述，這些條件可能須要預先收集有關目標或系統的配置或計算異常等更多信息。

　　The Attack Complexity metric describes the conditions beyond the attacker's control that must exist in order to exploit the vulnerability. As described below, such conditions may require the collection of more information about the target, the presence of certain system configuration settings, or computational exceptions.

　　取值範圍：Low(L) 低複雜度: 攻擊者能夠隨意攻擊，不存在懲罰機制。

　　　　　　　High(H) 高複雜度: 攻擊沒法隨意完成，攻擊者在攻擊成功以前，須要對脆弱組件投入大量的準備。

　　Privilege Required (PR) 權限要求: 此指標描述攻擊者在成功攻擊脆弱組件以前必須擁有的權限級別。

　　This metric describes the level of privileges an attacker must possess before successfully exploiting the vulnerability. 

　　取值範圍：None(N) 無要求：攻擊者在攻擊以前無需通過受權，所以不須要訪問設置或文件來執行攻擊。

　　　　　　　Low(L) 低權要求: 攻擊者須要擁有基本用戶功能的特權，一般隻影響普通用戶擁有的設置和文件。或者，具備低權限的攻擊者可能只能對非敏感資源形成影響。

　　　　　　　High(H) 高權要求: 攻擊者須要對可能影響組件範圍設置和文件的易受攻擊組件提供重要（如管理）控制的權限。

　　User Interaction (UI) 用戶交互：此指標描述攻擊脆弱組件對除攻擊者以外的用戶參與的需求，即肯定脆弱組件是僅攻擊者自己就能夠隨意利用，仍是須要用戶（或用戶進程）以某種方式參與。

　　This metric captures the requirement for a user, other than the attacker, to participate in the successful compromise of the vulnerable component. This metric determines whether the vulnerability can be exploited solely at the will of the attacker, or whether a separate user (or user-initiated process) must participate in some manner.

　　取值範圍：None(N) 無需求：不須要任何用戶的交互就能夠成功攻擊此脆弱組件。

　　　　　　　 Require(R) 有需求：須要用戶採起一些措施才能成功攻擊此脆弱組件，例如說服用戶單擊電子郵件中的連接。

 

2、生命週期評價

1.生命週期評價的計算公式爲：

　　生命週期 = Roundup(基礎分值 × 利用度 × 補丁水平 × 報告可信度）

說明：

　　

 

　　Temporal 生命週期評價

　　此指標衡量當前利用技術或代碼可用性的狀態，是否存在任何補丁或解決方法，或者漏洞報告的可信度。生命週期評價幾乎確定會隨着時間的推移而改變。

　　The Temporal metrics measure the current state of exploit techniques or code availability, the existence of any patches or workarounds, or the confidence that one has in the description of a vulnerability. Temporal metrics will almost certainly change over time.

 

　　Exploitability (E) 利用代碼成熟度

　　該指標衡量漏洞被攻擊的的可能性，一般基於當前的利用技術狀態、利用代碼可用性或主動「在野外」利用。漏洞越容易被利用，漏洞得分越高。

       This metric measures the likelihood of the vulnerability being attacked, and is typically based on the current state of exploit techniques, exploit code availability, or active, 'in-the-wild' exploitation. The more easily a vulnerability can be exploited, the higher the vulnerability score.

　　取值範圍：Not Defined(X) 未定義：將此值分配給指標不會影響分數。這是一個給得分方程跳過這個指標的信號。

　　　　　　　 Unproven that exploit exists(U) 未證實漏洞存在：沒有可用的漏洞代碼，或者漏洞徹底是理論上的。

　　　　　　　 Proof of concept code(P) 概念驗證階段：概念驗證利用代碼可用，或者攻擊演示對大多數系統都不實用。代碼或技術在全部狀況下都不起做用，可能須要熟練的攻擊者進行大量修改。

　　　　　　   Founctional exploit exists(F) 功能性漏洞代碼可用: 在存在該漏洞的大多數狀況下，代碼均可以工做。

　　　　　　   High(H) 高度可用： 存在自動功能或者不須要手動觸發的代碼，且詳細被普遍公開。利用代碼在任何狀況下都有效，或者經過自主代理（如蠕蟲或病毒）主動傳遞。鏈接網絡的系統可能會遭到掃描或利用嘗試。開發已達到可靠、普遍可用、易於使用的自動化工具水平。

 

　　Remediation Level(RL) 補丁水平：漏洞的修復級別是肯定優先級的一個重要因素。典型的漏洞在最初發布時是未修補的。在發佈官方補丁或升級以前，解決方法或修復程序可能會提供臨時補救措施。這些階段中的每個都向下調整時間評分，反映出隨着補救成爲最終結果而下降的緊迫性。

　　The Remediation Level of a vulnerability is an important factor for prioritization. The typical vulnerability is unpatched when initially published. Workarounds or hotfixes may offer interim remediation until an official patch or upgrade is issued. Each of these respective stages adjusts the temporal score downwards, reflecting the decreasing urgency as remediation becomes final.

　　取值範圍：Not Defined(X) 未定義：將此值分配給指標不會影響分數。這是一個給得分方程跳過這個指標的信號。

　　　　　　　Offical fix(O) 正式修復補丁：供應商已提供完整的解決方案。供應商已經發布了官方補丁，或者能夠升級。

　　　　　　　Temporary fix(T) 臨時修復補丁：有一個官方但臨時的解決方案。這包括供應商發佈臨時修補程序、工具或解決方案的實例。

　　　　　　　Workaround(W) 非官方修復方式：有一個非官方的、非供應商的解決方案。在某些狀況下，受影響技術的用戶將建立本身的補丁，或提供解決或減輕漏洞的步驟。

　　　　　　　Unavailable(U) 無可用修復方案：要麼沒有可用的解決方案，要麼沒法應用。 

　　Report Confidence (RC) 報告可信度：該指標衡量對漏洞存在及已知技術細節的可信度。有時只公開存在漏洞，但沒有具體細節。該漏洞隨後可能會被研究所證明，研究代表漏洞可能存在於何處，儘管研究可能不肯定。最後，脆弱性能夠經過受影響技術的做者或供應商的公示來確認。

　　This metric measures the degree of confidence in the existence of the vulnerability and the credibility of the known technical details. Sometimes only the existence of vulnerabilities are publicized, but without specific details. The vulnerability may later be corroborated by research which suggests where the vulnerability may lie, though the research may not be certain. Finally, a vulnerability may be confirmed through acknowledgement by the author or vendor of the affected technology.

 　　取值範圍：Not Defined(X) 未定義：將此值分配給指標不會影響分數。這是一個給得分方程跳過這個指標的信號。

　　　　　　　 Unknown(U) 未知：存在代表存在漏洞的影響報告。報告對漏洞的緣由未知，或者報告描述的可能在漏洞的緣由或影響與實際有所不一樣。報告者對漏洞的真實性質不肯定，而且對於報告的有效性或考慮到所描述的差別是否能夠應用靜態基礎分數幾乎沒有信心。

　　　　　　　 Reasonable(R) 可信：重要的細節已經公佈，可是研究人員或者對根本緣由沒有徹底肯定，或者沒有可訪問的源代碼來徹底確承認能致使的結果及全部交互做用。然而，存在必定的可信度，即bug是可複製的，而且至少有一個影響能夠被驗證出來（概念驗證出漏洞可被利用）。

　　　　　　　 Confirmed(C) 已確認：存在詳細的報告，或者能夠進行功能複製。源代碼被用於獨立驗證研究並獲得確證，或者受影響代碼的做者或供應商已確認存在該漏洞。

3、環境評價

1.環境評價的計算公式爲：

　　當 影響度 <= 0: 環境評價分值 = 0

　　當 影響度 > 0 且 無修正：環境評價分值 = Roundup(Roundup (Min[(M.影響度分值 + M.可利用度分值) ,10])× 利用度 × 補丁水平 × 報告可信度)

　　當 影響度 > 0 且 有修正：環境評價分值 = Roundup(Roundup (Min[1.08 × (M.影響度分值 + M.可利用度分值) ,10]) × 利用度 × 補丁水平 × 報告可信度)

　　Min 比較先後兩值，取小者

　　M. 表明被修正後的分數，弱對應項無修改，則爲原值。

2.影響力修正得分公式爲：

　　做用域 = 固定： 影響度修正分  = 6.42 × ISCModified

　　做用域 = 變化：影響度修正分  = 7.52 × (ISCModified − 0.029) − 3.25 × (ISCModified - 0.02)^15

　　其中： ISCModified = Min(1- [(1 - M.機密性影響 × M.機密性需求) × (1 - M.完整性影響 × M.完整性需求) × (1 - M.可用性影響 × M.可用性需求)],0.915)

 　  ISCModified 爲臨時變量

 

3.可利用性修正得分公式爲：

　　M.可利用度分值 = 8.22 × M.攻擊途徑 × M.攻擊複雜度 × M.權限需求 × M.用戶交互

 

說明：

 　　　

 

　　Environmental 環境評價： 這些指標使分析師可以根據受影響的IT資產對用戶組織的重要性定製CVSS評分，以現有的補充/替代安全控制、機密性、完整性和可用性衡量。這些度量是修改後的基本度量的等價物，並根據組織基礎結構中組件的狀況的分配分值。

　　These metrics enable the analyst to customize the CVSS score depending on the importance of the affected IT asset to a user's organization, measured in terms of complementary/alternative security controls in place, Confidentiality, Integrity, and Availability. The metrics are the modified equivalent of base metrics and are assigned metrics value based on the component placement in organization infrastructure

　　*注：除如下三項之外，其餘子項的定義均與原基礎評價對應的子項定義一致

　　Confidentiality Requirement (CR)：機密性需求

　　Integrity Requirement (IR)：完整性需求

　　Availability Requirement (AR)：可用性需求

　　取值範圍：Not Defined(X) 未定義：將此值分配給指標不會影響分數。這是一個給得分方程跳過這個指標的信號。

　　　　　　    Low(L) 低: 機密性(完整性/可用性) 喪失可能對組織或與組織相關的我的（如員工、客戶）產生有限的不利影響。

　　　　　　　  Medium(M) 中: 機密性(完整性/可用性) 喪失可能對組織或與組織相關的我的（如員工、客戶）產生嚴重不利影響。

　　　　　　　High(H) 高: 機密性(完整性/可用性) 可能對組織或與組織相關的我的（如員工、客戶）形成災難性的不利影響。

　　　　　　　

4、原文 

　　原文出處：https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator