关于CVSS的澄清

Question

我需要关于CVSS的澄清：

1. 有什么更好的参考资料？CVSSv2还是CVSSv3？V3是新的，但V2是成熟的。
2. 为什么NVD NIST存储库和Red存储库在CVSS分数上存在差异？

例如：

https://access.redhat.com/security/cve/cve-2016-7167 CVSS v2: 4.3

https://nvd.nist.gov/vuln/detail/CVE-2016-7167 CVSS v2: 7.5

Answer 1

分数是不同的，因为对此漏洞的理解不同。对于Red，他们建议该漏洞只能用于使应用程序崩溃。在NVD的情况下，他们认为该漏洞可用于执行任意代码。

根据供应商的咨询，NVD假设RCE是错误的。该漏洞不能用于执行任意代码，只能执行DoS。

至于CVSSv2和v3，目前还没有成熟的评分系统。引入CVSSv3是为了消除由CVSSv2评分引起的“不一致”，并且取得了部分成功。这两种得分体系都很不完美(我的看法)。

Answer 2

CVSS是一个评分系统，它是主观的，并且可以由漏洞评分者来解释，如果你看了这两个分数，你会发现一个对机密性的影响很高，而另一个则没有。

在这个问题上，没有真正正确的答案，这是对你正确的答案。在我的组织中，我们使用版本3，这份来自Acunetix的指南可能会帮助你做出决定。阿肯特克斯版本指南

Answer 3

CVSSv3在评分系统中引入了更准确地反映Web应用程序和虚拟环境中的漏洞的更改(即客户逃避)。

虽然这三个度量组，基本得分，时间分数和环境评分保持不变，新的指标，如范围(S)和用户交互(UI)，包括旧的指标，如认证(Au)被更改为更新的指标，如特权要求(PR)。

环境度量组在修改的Base中获得了一个新的附加项，允许我们根据受影响的主机定制CVSS分数，如果需要的话使其上下文化。