Utilizando a escala da RedHat1


como linha base para definir um intervalo de tempo máximo


para aplicação de patches de correção e segurança, os mesmos deverão ser

implementados conforme o cronograma seguinte:


_____________________________________________________________________________________________________________________________________

Classificação de gravidade                                                                                                               Implementação em (Dias)

_____________________________________________________________________________________________________________________________________


Impacto crítico                                                                                                                                                 15

Impacto importante                                                                                                                                         15

Impacto moderado                                                                                                                                          20

Baixo impacto                                                                                                                                                  30



Todos os patches deverão ser testados em máquinas de teste antes de serem aplicados

em sistemas de produção.

Sempre que a implementação não seja possível nos prazos acima descritos, deverão ser

tomadas medidas apropriadas e temporárias que mitiguem os riscos expostos pelas

respectivas vulnerabilidades.



_____________________________________________________________________________________________________________________________________

Classificação de gravidade do RedHat:1

_____________________________________________________________________________________________________________________________________




Impacto crítico


Essa classificação é dada a falhas que podem ser facilmente exploradas por um invasor remoto não autenticado e


levar ao comprometimento do sistema (execução de código arbitrário) sem exigir interação do usuário. Falhas que


requerem autenticação, acesso local ou físico a um sistema ou uma configuração improvável não são


classificado como Impacto Crítico. Esses são os tipos de vulnerabilidades que podem ser exploradas por worms.




Impacto importante


Esta classificação é dada a falhas que podem facilmente comprometer a confidencialidade, integridade ou disponibilidade de


Recursos. Esses são os tipos de vulnerabilidades que permitem que usuários locais ou autenticados ganhem


privilégios adicionais, permitem que usuários remotos não autenticados visualizem recursos que, de outra forma, deveriam ser


protegidos por autenticação ou outros controles, permitem que usuários remotos autenticados executem


código ou permitir que usuários remotos causem uma negação de serviço.




Impacto moderado


Essa classificação é dada a falhas que podem ser mais difíceis de explorar, mas ainda podem levar a alguns


comprometimento da confidencialidade, integridade ou disponibilidade de recursos em determinadas circunstâncias.


Esses são os tipos de vulnerabilidades que poderiam ter um impacto Crítico ou Importante, mas são menos


facilmente explorado com base em uma avaliação técnica da falha e/ou afetar configurações improváveis.




Baixo impacto


Essa classificação é atribuída a todos os outros problemas que podem ter um impacto na segurança. Esses são os tipos de


vulnerabilidades que se acredita exigirem circunstâncias improváveis para serem exploradas, ou onde um


exploração bem sucedida traria consequências mínimas. Isso inclui falhas que estão presentes em um


código-fonte do programa, mas para o qual nenhuma exploração atual ou teoricamente possível, mas não comprovada


vetores existem ou foram encontrados durante a análise técnica da falha.