漏洞分級示例

F.1 示例一 OpenSSL 緩沖區溢出（CVE-2014-0160)漏洞分級示例

F.1.1 漏洞名稱

OpenSSL 緩沖區溢出（CVE-2014-0160)。

F.1.2 漏洞簡介

OpenSSL 的 TLS 和 DTLS 實現過程中的d1_both.c 和 t1_lib.c 文件中存在安全漏洞，該漏洞源于處理 Heartbeat Extension 數據包時，缺少邊界檢查。遠程攻擊者可借助特質的數據包利用該漏洞讀取服務器內存中的敏感信息（如用戶名、密碼、Cookie、私鑰等）。

F.1.3 漏洞分級示例

見表F.1。

F.1.4 漏洞分級

通過表F.1，CVE-2014-0160 漏洞的被利用性為9級、影響程度為4級，因此技術分級為高危；同時，該漏洞的環境因素為7級，結合技術分級為高危，可知該漏洞的綜合分級為高危。

F.2 示例二 開源軟件 Plait plaiter 文件覆蓋（CVE-2008-4085) 漏洞分級示例

F.2.1 漏洞名稱

開源軟件 Plait plaiter 文件覆蓋（CVE-2008-4085)。

F.2.2 漏洞簡介

Plait 是一款命令行方式的音樂播放器軟件。

Plait 1.6 之前版本的plaiter 存在文件覆蓋漏洞。本地用戶可通過在cut . $ $，head . $ $，awk . $ $，ps . $ $的臨時文件中使用symlink，覆蓋任意文件。

F.2.3 漏洞分級示例

見表F.2。

F.2.4 漏洞分級

通過表F.2，CVE-2008-4085漏洞的被利用性為6級、影響程度為3級，因此技術分級為中危；同時，該漏洞的環境因素為3級，結合技術分級為中危，可知該漏洞的綜合分級為低危。