Apache 安全小組會評估影響 Apache 網路伺服器的每個安全性缺陷。我們選用一個評量等級,和大多數供應商所使用的等級十分類似,以達到一致性。基本上,此評量系統的目標是回答「我應該多擔心這個漏洞?」這個問題。
請注意,每個缺陷所選定的評分會是所有架構中的最糟情況。例如,過去我們有一些缺陷對某些 BSD 架構有極為嚴重的影響,但絕不會影響其他架構。若要確定特定漏洞對您系統的確切影響,您仍需要深入閱讀安全公告,才能更深入了解缺陷。
我們使用以下說明來決定給予每個漏洞的影響評分
評為極為嚴重的漏洞,是指遠端攻擊者可能利用這些漏洞讓 Apache 執行任意程式碼(可能是伺服器執行中的使用者或 root)。這些是可能被蠕蟲自動利用的漏洞。
評為重要影響的漏洞,是指可能會導致伺服器資料或可用性遭受入侵。對於 Apache 網路伺服器,這表示可能造成容易遭致遠端服務中斷(嚴重程度超乎攻擊本身,或是造成持久性後果)的問題、取得文件根目錄以外的任意檔案,或是存取原本應受到限制或驗證防護的檔案。
如果存在重大減輕措施可降低問題的影響,那麼漏洞可能會被評為中等。這是因為缺陷不會影響可能的組態,或是一個不廣泛使用的組態,或是遙遠的使用者必須經過驗證才能利用該問題。允許 Apache 提供目錄清單而非索引檔案的缺陷包括在此,而可能會讓 Apache 1.3 中的 Apache 子程序崩潰的缺陷也是如此
所有其他安全性缺陷都被歸類為低影響。此評級用於極端難以利用或其漏洞產生最小後果的問題。