Aprendiendo sobre los Niveles de riesgo de seguridad definidos en Drupal

Aprendiendo sobre los Niveles de riesgo de seguridad definidos

Tal vez al revisar una nueva actualización de seguridad del core de drupal allas visto una serie de especificaciones donde dice que nivel de riesgo tiene esa actualización de seguridad o mejor dicho que riesgos se tiene de no actualizar.

es algo como esto:
nivel de riesgo de seguridad en drupal

El primero mensaje de moderadamente critico con el color amarillo ya nos da una idea del nivel de peligro. en el sitio de drupal.org es posible encontrar una pagina donde se explica más a detalle toda la demas descripción que acompaña. 

https://www.drupal.org/drupal-security-team/security-risk-levels-defined

A continuación va la traducción de esta pagina:

 

Niveles de riesgo de seguridad definidos

 
Última actualización el
13 diciembre 2019
 

La siguiente información explica cómo los niveles de criticidad sirven como guía general para determinar los niveles de riesgo de seguridad.

Esta página trata sobre la puntuación de riesgo utilizada después del 6 de agosto de 2014. Para ver el sistema utilizado antes de eso, consulte las revisiones de esta página desde 2014.

Calculadora de riesgo

El sistema de nivel de riesgo de aviso de seguridad actual se basa en el Sistema de puntuación de uso indebido común del NIST (NISTIR 7864) . Cada vulnerabilidad se califica usando este sistema y se le asigna un número entre 0 y 25. Los puntos totales se usan para dar una descripción de texto para que los números sean más fáciles de entender:

  • las puntuaciones entre 0 y 4 se consideran no críticas
  • 5 a 9 se considera Menos Crítico
  • 10 a 14 se considera moderadamente crítico
  • 15 a 19 se considera crítico
  • 20 a 25 se considera Altamente Crítico

El nivel de riesgo lo asigna la Calculadora de riesgos , que toma 6 métricas diferentes, cada una de las cuales puede tener 3 valores diferentes. Esto está codificado en un formato conciso e incluido en cada aviso de seguridad en el campo "Riesgo de seguridad". La siguiente tabla proporciona descripciones más largas y puntajes para cada categoría.

Métricas de riesgo utilizadas
Código Métrico Descripción
C.A. Complejidad de acceso

¿Qué tan difícil es para el atacante aprovechar la vulnerabilidad?

  • AC: Ninguno = Ninguno (página de visitas del usuario) +4 puntos
  • AC:Basic = Básico o de rutina (el usuario debe seguir una ruta específica) +2 puntos
  • AC:Complejo = Complejo o altamente específico (proceso de varios pasos, poco intuitivo con un alto número de dependencias) +1 punto
A Autenticación

¿Qué nivel de privilegio se requiere para que un exploit tenga éxito?

  • R: Ninguno = Ninguno (todos/usuarios anónimos) +4 puntos
  • A:Usuario = Acceso a nivel de usuario (permisos básicos/comúnmente asignados) +2 puntos
  • A:Admin = Administrador (se requieren amplios permisos donde 'restringir acceso' se establece en falso) +1 punto
CI Impacto de la confidencialidad

¿Esta vulnerabilidad hace que los datos no públicos sean accesibles?

  • CI:Todos = Todos los datos no públicos son accesibles +5 puntos
  • CI:Algunos = Ciertos datos no públicos se publican +3 puntos
  • CI:Ninguno = Sin impacto en la confidencialidad +0 puntos
Yo Impacto de integridad

¿Puede este exploit permitir que los datos del sistema (o los datos manejados por el sistema) se vean comprometidos?

  • II:Todos = Todos los datos se pueden modificar o eliminar +5 puntos
  • II:Algunos = Algunos datos pueden modificarse +3 puntos
  • II:Ninguno = La integridad de los datos permanece intacta +0 puntos
mi Explotación (impacto de día cero)

¿Existe un exploit conocido?

  • E: Exploit = ​​Exploit existe (código de exploit documentado o implementado que ya está en la naturaleza) +4 puntos
  • E:Proof = Existe una prueba de concepto (existen métodos documentados para desarrollar exploits en la naturaleza) +2 puntos
  • E:Teórico = Teórico o sombrero blanco (no existe ningún código de explotación pública ni documentación sobre el desarrollo) +1 punto
DT Distribución objetivo

¿Qué porcentaje de usuarios se ven afectados?

  • TD:Todos = Todas las configuraciones de módulos son explotables +3 puntos
  • TD:Predeterminado = Las configuraciones de módulos comunes o predeterminadas son explotables, pero un cambio de configuración puede desactivar el exploit +2 puntos
  • TD:Uncommon = Solo las configuraciones de módulos poco comunes son explotables +1 puntos

Recursos externos

Categorias
Seguridad
Versión
Drupal 8
Drupal 9

Añadir nuevo comentario

El contenido de este campo se mantiene privado y no se mostrará públicamente.
Acerca de formatos de texto

HTML Restringido

  • Etiquetas HTML permitidas: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Saltos automáticos de líneas y de párrafos.
  • Las direcciones de correos electrónicos y páginas web se convierten en enlaces automáticamente.