关于安全问题严重性的分级

Zammad 产品安全团队采用四个等级: Low / 低, Medium / 中, High / 高 和 Critical / 高危, 为在 Zammad 产品中找到的安全问题进行分级. 这些方法提供了指定有限顺序的风险评估, 以帮助系统管理员了解并安排系统升级, 并可针对独特环境中的每个问题的风险做出知情决策.

分级说明

Common Vulnerabilities and Exposures (简称CVE) 提供了标准的, 独立于特定厂商的信息安全问题(例如安全漏洞)的名称. CVE 会在与安全相关的信息中使用, 如 Zammad 安全通告, 其它厂商的安全公告, 以及程序错误跟踪系统. 系统管理员们经常被要求针对某个特定的 CVE 名来为他们的系统打补丁.

Zammad 产品安全团队采用四个等级: Low / 低, Medium / 中, High / 高 和 Critical / 高危, 为在 Zammad 产品中找到的安全问题进行分级. 这些方法提供了指定有限顺序的风险评估, 以帮助系统管理员了解并安排系统升级, 并可针对独特环境中的每个问题的风险做出知情决策.

这个四级分级方法让您了解 Zammad 对问题的重视程度, 帮助您确定问题严重性, 并决定最重要的更新是什么. 这个分级方法考虑了在对具体漏洞机器类型进行技术分析后的潜在风险, 而不是目前的威胁程度; 如果稍后出现针对此漏洞的攻击或蠕虫, 或在发布修复方案前已有解决方法, 给出的评级都不会更改.

分级的详细说明

• Critical / 高危
  • 这个分级用于可被远程非授权攻击者轻易攻击的漏洞, 并可造成没有用户互动情况下的系统破解(随机代码执行). 这些类型的漏洞可被蠕虫攻击. 需要授权远程用户, 本地用户或不太可能的配置的漏洞不属于 高危 等级.
• High / 高
  • 这个分级用于可轻易破解资源机密性, 完整性及可用性的漏洞. 这些类型的漏洞可让本地用户获得特权, 让非验证的远程用户查看使用验证保护的资源, 让验证的远程用户执行随机代码, 或允许远程用户造成服务拒绝.
• Medium / 中
  • 这个分级用于攻击比较困难, 但在某些条件下仍可对资源机密性, 完整性或可用性造成一定损害的漏洞. 这些漏洞类型可能会造成 高危 或 高 级别的严重性, 但根据对漏洞的技术, 对该漏洞的攻击并不容易, 或只能影响不太可能的配置.
• Low / 低
  • 这个分级用于有安全影响的所有其他问题. 这些漏洞类型只有在不太可能的情况下方可进行攻击, 或成功的攻击造成的后果并不严重.

漏洞披露

我们在没有解决方案之前不会公布漏洞或攻击的详细信息, 并优先在发布修正版本之前为企业客户提供应急方案.