CVSSに関する明確化
CVSSに関する2つの説明を喜んでいただけますか。
1)参照には何が良いですか? CVSSv2またはCVSSv3? V3は新しいですが、V2は成熟しています。
2)NVDNISTリポジトリとRedHatリポジトリの間でCVSSスコアに違いがあるのはなぜですか?
例えば:
https://access.redhat.com/security/cve/cve-2016-7167 CVSS v2:4.3
https://nvd.nist.gov/vuln/detail/CVE-2016-7167 CVSS v2:7.5
スコアは異なりますが、この脆弱性の理解は異なります。 RedHatの場合、脆弱性はアプリケーションのクラッシュにのみ使用できることを示唆しています。 NVDの場合、この脆弱性を利用して任意のコードが実行される可能性があります。
ベンダーの勧告によると https://curl.haxx.se/docs/adv_20160914.html NVDはRCEを想定するのは間違っていました。この脆弱性を使用して任意のコードを実行することはできず、DoSのみを実行できます。
CVSSv2とv3-に関しては、成熟したスコアリングシステムのようなものはありません。 CVSSv3は、CVSSv2スコアリングによって引き起こされる「不整合」を排除するために導入され、部分的に成功しました。どちらのスコアリングシステムも完璧にはほど遠いです(私の意見)。
CVSSはスコアリングシステムであり、主観的であり、脆弱性をスコアリングする人による解釈に開かれています。2つのスコアを見ると、1つは機密性への影響が高く、もう1つはまったくないことがわかります。
どちらを使用するかについては、ここに本当の正しい答えはありません。それがあなたにとって正しいことです。私の組織ではバージョン3を使用していますが、Acunetixのこのガイドはあなたが決心するのに役立つかもしれません。 Acunetix CVSSバージョンガイド
CVSSv3は、Webアプリケーションおよび仮想化環境(つまり、ゲストエスケープ)の脆弱性をより正確に反映するスコアリングシステムの変更を導入します。
基本スコア、時間スコア、環境スコアの3つのメトリックグループはすべて同じままでしたが、認証(Au)などの古いメトリックが新しいものに変更されるなど、スコープ(S)やユーザーインタラクション(UI)などの新しいメトリックが追加されました。必要な特権(PR)など。
環境メトリクスグループに、変更されたベースメトリクスが新たに追加されました。これにより、影響を受けたホストに基づいてCVSSスコアをカスタマイズし、必要に応じて状況に応じてカスタマイズできます。