RedhatとNVDページでCVSSスコアが大きく異なるのはなぜですか？

Question

cVE-2016-7872を例にとります。

National Vulnerability Database Webページでは、cvss2およびcvss3スコアがそれぞれ9.8および10.0であることがわかります。

私の理解では、cvssスコアは一定のルールセット（https：/\www.first.org/cvss/specification-document）を介して計算されていますが、なぜそれほど異なるのですか？

Marc Ruef · Accepted Answer

残念ながら、CVSSの評価は常に希望よりも個別的です。このようなディスカッションの例については、質問 CVSSスコアリモートまたはローカルシナリオを参照してください。

私は VulDB.com のCVSS評価を担当しており、NVDのような同様の問題に直面しています。場合によっては、部分的なベクトルにつながる正確な詳細が不明です。また、部分ベクトルを使用してスコアを計算することはできません。この場合、スコアをできるだけよく記入するようにしています。 Internet Explorerの場合、C:P/I:P/A:P現在、デフォルトのブラウザは通常、管理者ではなく標準ユーザーが使用しているためです。

しかし、他のいくつかのケースでは、考えられる最悪のケースのシナリオを完了します。たとえば、ベンダーがバッファオーバーフローがあると主張しているのに、少なくともC:N/I:N/A:P。影響を疑う場合は、C:P/I:P/A:P。評価の正確さを示す信頼レベルで常にベクトルとスコアにフラグを付けます。一部のベンダーはスコアを調整しようとします。一部のベンダーによるスコアを見ると、統計を良好に保つために、いくつかのベンダーがいくつかの上限しきい値を回避しようとしていることがわかります。

訪問者の多くは、さまざまなソースからのさまざまなスコアに満足していません。これが、利用可能なすべてのスコア（VulDB、ベンダー、研究者、NVDなど）を追加し、可能であれば表示する理由です。たとえば ID 9555 を参照してください。評価に大きな違いがある場合は説明します。これにより、ユーザーは、対処しなければならない個々のユースケースをカバーするスコアを取ることができます。

Douglas Leeder · Answer

計算への入力の計算は非常に主観的です。

CVSSv2を取得します。

RH：AV：N/AC：M/Au：N/C：P/I：P/A：P

NVD：AV：N/AC：L/Au：N/C：C/I：C/A：C

どちらも攻撃ベクトルはネットワークであり、認証はなしです。しかし、他のすべてに同意しません。

NVDは、攻撃の難易度は簡単で、影響は完全であると考えています。 RHは、攻撃の難易度は中程度であり、影響は部分的であると考えています。

攻撃が根付かないため、実際に影響が完全に及ぶかどうかはわかりません。しかし、値が異なる理由がわかります。

PS：このケースには関係ありませんが、CVSSv2の一時的なスコアの一部は特に奇妙です：取る https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2016- 7872＆vector =（AV：N/AC：L/Au：N/C：C/I：C/A：C）を適用し、「公式修正が利用可能」になり、結果が10から8.7に下がります。 9より上のすべてをすぐに修正しなければならないというルールがありました。パッチがなかった場合は修正する必要がありますが、パッチが利用可能であった場合は修正しないでください。