¿Por qué las puntuaciones CVSS difieren tanto entre Redhat y la página NVD?

4

tome CVE-2016-7872, por ejemplo.

en la página web de la Base de datos de vulnerabilidad nacional , podemos ver que la puntuación de cvss2 y cvss3 es 9.8 y 10.0 respectivamente.

pero en la página de avisos de seguridad de redhat , son 6.8 y 8.8.

A mi entender, la puntuación cvss se calcula a través de un conjunto fijo de reglas (https: / \ www.first.org/cvss/specification-document), ¿por qué difieren tanto?

    
pregunta Sajuuk 17.08.2017 - 09:19
fuente

2 respuestas

2

Lamentablemente, las calificaciones de CVSS siempre son más individuales que las deseadas . Consulte mi pregunta Escenario CVSS Remoto o Local para ver un ejemplo de tal discusión.

Soy responsable de la clasificación de CVSS en VulDB.com y enfrentamos problemas similares como NVD. En algunos casos, los detalles exactos no se conocen, lo que llevaría a vectores parciales. Y los vectores parciales no se pueden usar para calcular ninguna puntuación. En este caso tratamos de completar los puntajes lo mejor posible. En el caso de Internet Explorer, tendemos a usar C:P/I:P/A:P porque hoy en día el navegador predeterminado generalmente lo usan usuarios estándar y no administradores.

Pero en algunos otros casos completamos el peor escenario posible. Por ejemplo, si un proveedor afirma que hay un desbordamiento de búfer, pero afirma que solo puede llevar a una denegación de servicio que sería al menos C:N/I:N/A:P . Si dudamos del impacto, entonces completamos a C:P/I:P/A:P . Siempre marcamos los vectores + puntuaciones con un nivel de confianza que indica la precisión de la calificación. Algunos vendedores tratan de ajustar sus puntuaciones. Si echa un vistazo a los puntajes de algunos proveedores, verá que intentan evitar algunos umbrales superiores para mantener sus estadísticas en buen estado.

Muchos de nuestros visitantes no están contentos con los diferentes puntajes de diferentes fuentes. Es por esto que agregamos todos los puntajes disponibles (por ejemplo, VulDB, proveedor, investigador, NVD) y los mostramos si es posible. Consulte ID 95550 , por ejemplo. Si hay grandes diferencias en la calificación los explicaremos. Esto hace posible que los usuarios obtengan la puntuación que cubre el caso de uso individual con el que tienen que lidiar.

    
respondido por el Marc Ruef 22.08.2017 - 08:59
fuente
4

La elaboración de las entradas para los cálculos es muy subjetiva:

Toma el CVSSv2:

RH: AV: N / AC: M / Au: N / C: P / I: P / A: P

NVD: AV: N / AC: L / Au: N / C: C / I: C / A: C

Ambos acuerdan que el vector de ataque es red y la autenticación es ninguna. Pero no estoy de acuerdo con todo lo demás.

NVD cree que la dificultad de ataque es fácil y el impacto es completo. RH piensa que la dificultad de ataque es media y el impacto es parcial.

Dado que el ataque no tiene raíz, no estoy seguro de que el impacto pueda ser completo. Pero puedes ver por qué los valores son diferentes.

PS: Aunque no es relevante para este caso, algunas de las puntuaciones temporales para CVSSv2 son particularmente extrañas: Tome enlace y aplique una" Solución oficial disponible "y el resultado bajará de 10 a 8.7. Tenías la regla de que tenías que arreglar todo lo anterior por encima de un 9 inmediatamente, tendrías que arreglarlo si no hubiera un parche, pero no si había un parche disponible.

    
respondido por el Douglas Leeder 17.08.2017 - 11:51
fuente