当CVSS v2评分过高表示严重程度时的常见做法

Question

我们正在将漏洞管理过程正规化，并决定使用CVSS V2来帮助确定要补救的漏洞。我们遇到的情况是，漏洞的严重程度分数已经超过了补救门槛，但实际上该漏洞不会对我们造成影响。

我们正在运行的漏洞是CVE-2004-0230，它在添加环境度量之后具有以下CVSS向量字符串：AV:N/AC:L/Au:N/C:N/I:N/A:P/E:F/RL:TF/RC:C/CDP:L/TD:H/CR:ND/IR:ND/AR:M

从理论上讲，这个漏洞可能会影响我们所有的系统(TD高)。在实践中，我们通常没有长期的连接，我们也不会在易受攻击的系统上使用BGP。这个长篇文章清楚地表明，这只是我们不必担心的事情。

如果您(或您的公司)遇到过类似的情况，您是否：

• 修补漏洞(因为CVSS评分高于补救阈值)？我们计划有三个结果之一的补救；它可以减轻，固定或风险可以正式接受(这就是在这种情况下会发生的)。
• 修改CVSS指标，使其更接近与漏洞相关的风险？(TD移至低位，或类似的情况)
• 做点别的吗？

Answer 1

如果您是正确的，该漏洞确实不会影响您的系统，那么在我看来，正确的事情是您提到的。企业应该正式接受风险(如果你认为你的系统不受影响的话，这是可以忽略不计的)。