prendi CVE-2016-7872 per esempio.
nella pagina web del National Vulnerability Database , possiamo vedere che il punteggio cvss2 e cvss3 sono 9,8 e 10.0 rispettivamente.
ma nella pagina di avviso di sicurezza redhat , sono 6.8 e 8.8.
A mio parere, il punteggio cvss viene calcolato tramite un set fisso di regole (https: / \ www.first.org/cvss/specification-document), perché sono così diversi?
Sfortunatamente, le valutazioni CVSS sono sempre più individuali del desiderato . Vedi la mia domanda Scenario remoto o locale del punteggio CVSS per un esempio di tale discussione.
Sono responsabile della valutazione CVSS su VulDB.com e affrontiamo problemi simili come NVD. In alcuni casi non sono noti i dettagli esatti che porterebbero a vettori parziali. E i vettori parziali non possono essere usati per calcolare alcun punteggio. In questo caso cerchiamo di completare i punteggi nel miglior modo possibile. Nel caso di Internet Explorer tendiamo a usare C:P/I:P/A:P perché al giorno d'oggi il browser predefinito viene solitamente utilizzato dagli utenti standard e non dagli amministratori.
Ma in alcuni altri casi completiamo il possibile scenario peggiore. Ad esempio, se un venditore afferma che vi è un overflow del buffer, ma afferma che può solo portare a un denial of service che sarebbe almeno C:N/I:N/A:P . Se dubitiamo dell'impatto, completeremo quindi C:P/I:P/A:P . Contrassegniamo sempre i vettori + punteggi con un livello di confidenza che indica l'accuratezza della valutazione. Alcuni venditori cercano di mettere a punto i loro punteggi. Se dai un'occhiata ai punteggi di alcuni venditori, vedrai che cercano di evitare alcune soglie superiori per mantenere le loro statistiche belle.
Molti dei nostri visitatori non sono contenti dei diversi punteggi di diverse fonti. Questo è il motivo per cui aggiungiamo tutti i punteggi disponibili (ad esempio VulDB, fornitore, ricercatore, NVD) e mostrali se possibile. Ad esempio, vedi ID 95550 . Se ci sono grandi differenze nel punteggio, li spiegheremo. Ciò consente agli utenti di prendere il punteggio che copre il caso d'uso individuale con cui devono confrontarsi.
Elaborare gli input per i calcoli è molto soggettivo:
Segui CVSSv2:
RH: AV: N / AC: M / Au: N / C: P / I: P / A: P
NVD: AV: N / AC: L / Au: N / C: C / I: C / A: C
Entrambi concordano che il Vettore di attacco è Rete e che l'Autenticazione è Nessuno. Ma non è d'accordo con tutto il resto.
NVD pensa che la difficoltà di attacco sia semplice e l'impatto sia completo. RH pensa che la difficoltà di attacco sia media e l'impatto è parziale.
Dato che l'attacco non si radica, non sono sicuro che l'impatto possa davvero essere completo. Ma puoi capire perché i valori sono diversi.
PS: Sebbene non sia rilevante in questo caso, alcuni dei punteggi temporali per CVSSv2 sono particolarmente strani: Take link e applica una" correzione ufficiale disponibile "e il risultato scende da 10 a 8.7. Avevi una regola per cui dovevi aggiustare tutto sopra un 9 immediatamente, dovresti correggerlo se non c'era una patch, ma non se c'era una patch disponibile.
Leggi altre domande sui tag vulnerability vulnerability-assessment cve vulnerability-scanners vulnerability-management