通用漏洞评估方法CVSS3.0简表
CVSS3.0计算分值共有三种维度:
1. 基础度量。 分为 可利用性 及 影响度 两个子项,是漏洞评估的静态分值。
2. 时间度量。 基础维度之上结合受时间影响的三个动态分值,进而评估该漏洞的动态分值。
3. 环境度量。 根据用户实际环境需求结合时间及基础两个维度的分值,是根据用户环境情况重新评估的分值。
漏洞得分对应的危险度如下:
其他解析:
Roundup 定义为小数点后一位的最小数字,等于或高于其输入。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0.
Min: 两者取小值
M. 所有有M.标志的值为修正后的值,无修正则与原值相等
一:基础度量
BaseScore = IF(Scope="C",ROUNDUP(MIN(1.08*(Exp+Impact),10),1), ROUNDUP(MIN(Exp+Impact,10),1))
Impact = IF(Scope="C",7.52*(ISCbase-0.029)-3.25*((ISCbase-0.02)^15), 6.42*ISCbase)
其中: ISCbase = 1 - ((1-C) * (1-I) * (1-A))
Exp = 8.22 * AV * AC * PR * UI
注:Scope 为作用域标记(3.0新增),表示漏洞影响的范围是否会扩大到其他组件,取值包括 changed(C) 及 unchanged(U)。一般情况下此值为 ‘U’ unchanged 。
二、时间度量
Temporal = Roundup(BaseScore*E*RL*RC)
三、环境度量
Environmental = IF(Scope="C", Roundup(Roundup(Min(1.08*(M.Impact + M.E),10),1),1), Roundup(Min((M.Impact + M.Exp) ,10),1))
M.Impact = IF(Scope="C", 7.52*(M.ISC− 0.029)−3.25*(M.ISC-0.02)^15, 6.42*M.ISC)
其中: M.ISC = Min(1-((1-M.C*CR)*(1-M.I*IR)*(1-M.IA*AR)), 0.915)
M.Exp = 8.22 * M.AV * M.AC * M.PR * M.UI