CVSSv2スコアが重大度を超える場合の一般的な方法

脆弱性管理プロセスを形式化しており、CVSS V2を使用して、修正する脆弱性を決定することにしました。脆弱性の重大度スコアが修復しきい値を超えたという状況に直面していますが、実際には、脆弱性は私たちに影響を与えません。

私たちが遭遇している脆弱性は CVE-2004-02 であり、環境メトリックを追加した後、次のCVSSベクトル文字列があります： AV：N/AC：L/Au：N/C：N/I：N/A：P/E：F/RL：TF/RC：C/CDP：L/TD：H/CR：ND/IR：ND/AR：M

理論的には、この脆弱性はほとんどすべてのシステムに影響を与える可能性があります（TDが高い）。実際には、通常、長期間接続することはなく、脆弱なシステムでBGPを使用することもありません。これ lwn article は、これが私たちが心配する必要のないものであることを明確にしています。

あなた（またはあなたの会社）がこれまでに同様のシナリオに遭遇したことがある場合、あなたは：

• 脆弱性を修正しますか（CVSSスコアが修正しきい値を超えているため）？私たちは、修復が3つの結果のうちの1つを持つようにすることを計画しています。軽減、修正、またはリスクを正式に受け入れることができます（これがこの場合に発生します）。
• CVSSメトリックを変更して、脆弱性に関連するリスクにより類似させますか？ （TDが低くなった、または同様のもの）
• 他に何かしますか？