Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Niveaux de gravité des conclusions d'Amazon Inspector
Lorsqu'Amazon Inspector génère une détection de vulnérabilité, il attribue automatiquement une gravité à cette découverte. La gravité d'un résultat reflète les principales caractéristiques du résultat et peut donc vous aider à évaluer et à prioriser vos résultats. La gravité d'une constatation n'implique ni n'indique le caractère critique ou l'importance que pourrait avoir une ressource affectée pour votre organisation.
L'indice de gravité d'une constatation est déterminé par un score numérique correspondant à l'un des niveaux de gravité suivants : informationnel, faible, moyen, élevé ou critique.
La méthode utilisée par Amazon Inspector pour déterminer la gravité varie en fonction du type de constatation. Consultez les sections suivantes pour en savoir plus sur la façon dont Amazon Inspector détermine l'indice de gravité de chaque type de constatation.
Gravité de la vulnérabilité des progiciels
Amazon Inspector utilise le score NVD/CVSS comme base du score de gravité des vulnérabilités des progiciels. Le score NVD/CVSS est le score de gravité de la vulnérabilité publié par le NVD et défini par le CVSS. Le score NVD/CVSS est une composition de mesures de sécurité, telles que la complexité des attaques, la maturité du code d'exploitation et les privilèges requis. Amazon Inspector produit un score numérique de 1 à 10 qui reflète la gravité de la vulnérabilité. Amazon Inspector considère ce score comme un score de base car il reflète la gravité d'une vulnérabilité en fonction de ses caractéristiques intrinsèques, qui sont constantes dans le temps. Ce score suppose également l'impact le plus défavorable raisonnable sur les différents environnements déployés. La norme CVSS v3 associe
Score |
Évaluation |
0 | Informationnel |
0,1 à 3,9 | Faible |
4,0—6,9 | Medium |
7,0—8,9 | Élevée |
9,0—10,0 | Critique |
La gravité des vulnérabilités détectées dans les packages peut également être considérée comme non triagée. Cela signifie que le fournisseur n'a pas encore défini de score de vulnérabilité pour la vulnérabilité détectée. Dans ce cas, nous vous recommandons d'utiliser les URL de référence pour la recherche afin de rechercher cette vulnérabilité et de réagir en conséquence.
Les résultats relatifs à la vulnérabilité des packages incluent les scores suivants et les vecteurs de notation associés dans les détails de leur découverte :
-
Score EPSS
-
Note de l'Inspecteur
-
CVSS 3.1 d'Amazon CVE
-
CVSS 3.1 de NVD
-
CVSS 2.0 de NVD (le cas échéant)
Gravité de la vulnérabilité du code
Pour détecter une vulnérabilité dans le code, Amazon Inspector utilise les niveaux de gravité définis par les CodeGuru détecteurs Amazon à l'origine de la découverte. Une gravité est attribuée à chaque détecteur à l'aide du système de notation CVSS v3. Pour une explication des CodeGuru utilisations de sévérité, voir les définitions de gravité dans le CodeGuru guide. Pour obtenir une liste des détecteurs par niveau de gravité, sélectionnez l'un des langages de programmation pris en charge ci-dessous :
Sévérité de l'accessibilité du réseau
Amazon Inspector détermine la gravité d'une vulnérabilité d'accessibilité au réseau en fonction du service, des ports et des protocoles exposés et du type de chemin ouvert. Le tableau suivant définit ces niveaux de gravité. La valeur de la colonne Open path rating représente les chemins ouverts provenant de passerelles virtuelles, de VPC homologues et de réseaux. AWS Direct Connect Tous les autres services, ports et protocoles exposés ont une cote de gravité informationnelle.
Service |
Ports TCP |
Ports UDP |
Évaluation du chemin Internet |
Évaluation des chemins ouverts |
DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 | Medium | Informationnel |
Elasticsearch | 9300, 9200 | NA | Medium | Informationnel |
FTP | 21 | 21 | Élevée | Medium |
Catalogue global LDAP | 3268 | NA | Medium | Informationnel |
Catalogue global LDAP via TLS | 3269 | NA | Medium | Informationnel |
HTTP | 80 | 80 | Faible | Informationnel |
HTTPS | 443 | 443 | Faible | Informationnel |
Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 | Medium | Informationnel |
LDAP | 389 | 389 | Medium | Informationnel |
LDAP via TLS | 636 | NA | Medium | Informationnel |
MongoDB | 27017, 27018, 27019, 28017 | NA | Medium | Informationnel |
MySQL | 3306 | NA | Medium | Informationnel |
NetBIOS | 137, 139 | 137, 138 | Medium | Informationnel |
NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 | Medium | Informationnel |
Oracle | 1521, 1630 | NA | Medium | Informationnel |
PostgreSQL | 5432 | NA | Medium | Informationnel |
Services d'impression | 515 | NA | Élevée | Medium |
RDP | 3389 | 3389 | Medium | Faible |
RPC | 111, 135, 530 | 111, 135, 530 | Medium | Informationnel |
SMB | 445 | 445 | Medium | Informationnel |
SSH | 22 | 22 | Medium | Faible |
SQL Server | 1433 | 1434 | Medium | Informationnel |
Syslog | 601 | 514 | Medium | Informationnel |
Telnet | 23 | 23 | Élevée | Medium |
WINS | 1512, 42 | 1512, 42 | Medium | Informationnel |