CVSS 基本値
脆弱性情報が公開された際に、合わせて CVSS による「基本評価基準(Base Metrics)」の評価値(基本値)が示されることがよくあります。 この CVSS 基本値は脆弱性そのものの深刻度を評価したもので、NIST(NVD) や RHL、SUSE、IPA などが評価値を公表していたりします。
脆弱性そのものに対する評価なのだからその結果はだれが評価しても同じなのかなと思っていたのですが、実際にはこの基本値というのは評価主体によって値が異なる場合があるようだったので、少し調べてみました。
CVSS 基本値が大きく異る実例:CVE-2019-15505
例えば CVE-2019-15505 と番号が割り振られた脆弱性について NVD と SUSE が CVSS 基本値を公表していますが、その値はそれぞれ 9.8 と 6.1 となっており 3.7 もの差が生じています。
CVE-2019-15505 の CVSS Score / CVSS Vector
- Linux Kernelの複数の脆弱性情報(Critical: CVE-2019-15504, CVE-2019-15505) - OSS脆弱性ブログ
https://security.sios.com/vulnerability/kernel-security-vulnerability-20190828.html
National Vulnerability Database | SUSE | |
---|---|---|
Base Score | 9.8 | 6.1 |
Vector | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H |
Access Vector | Network | Physical |
Access Complexity | Low | Low |
Privileges Required | None | None |
User Interaction | None | None |
Scope | Unchanged | Unchanged |
Confidentiality Impact | High | High |
Integrity Impact | High | None |
Availability Impact | High | High |
この脆弱性の内容は「細工されたUSBトラフィック(usbipまたはusbredirを介したリモートからの可能性がある)により境界外読み込みが発生する可能性がある」というものです。
NVD ではこの脆弱性について AV(攻撃元区分)を「ネットワーク」として評価していますが、SUSE は「物理」として評価しており、結果として CVSS 基本値も大きく異なっています。
CVSS 基本値が異なる理由について
SUSE、RHL ともに CVSS 基本値が NVD のそれと異なる場合がある理由を説明しているページが作られていました。以下、日本語訳は独自に追加したものです。
SUSE
Note that SUSE scores only security issues affecting our products, and that those scores occasionaly differ from the NVD base scoring due to different assumptions on the products the components are shipped in.
SLES Security Rating Overview - Support | SUSE
https://www.suse.com/support/security/rating/
(日本語訳)
SUSE の評価値は当社製品に影響するセキュリティ上の問題のみに対するものであり、想定している製品条件が異なる NVD 基本評価値とは差が生じる場合があります。
RHL
Differences Between NVD and Red Hat Scores
For open source software shipped by multiple vendors, the CVSS base scores may vary for each vendor's version, depending on the version they ship, how they ship it, the platform, and even how the software is compiled. This makes scoring of vulnerabilities difficult for third-party vulnerability databases, such as NVD, who can give only a single CVSS base score to each vulnerability.
These differences can cause the scores to vary widely. For example, NVD rates Firefox flaws as having High impact metrics because the Firefox application is also available for Microsoft Windows, where it is common that the user is running Firefox with administrator privileges. For Red Hat Enterprise Linux, we use Low impact metrics, as Firefox is most likely to be run as an unprivileged user.
For these reasons, we recommend that, whenever possible, you use a CVSS base score provided by Red Hat in preference to a score from a third party. Please let us know if you believe we have given an incorrect CVSS v3 base score for a particular vulnerability. We are happy to discuss the severity and update it if needed.
Severity Ratings - Red Hat Customer Portal
https://access.redhat.com/security/updates/classification/
(日本語訳)
NVD と Red Hat スコアの違い
複数のベンダーが出荷しているオープンソースソフトウェアの場合、CVSSの基本評価値は、各ベンダーのバージョン、ベンダーが出荷しているバージョン、出荷方法、プラットフォーム、さらにはソフトウェアのコンパイル方法によって異なる場合があります。このため、各脆弱性にCVSSの基本評価値を1つしか付けられないサードパーティの脆弱性データベース (NVDなど) では、脆弱性のスコア付けが困難になります。
これらの違いにより、評価値が大きく異なる場合があります。たとえば、NVD は Firefox の脆弱性を「影響が大きい」と評価します。これは、ユーザーが管理者権限で Firefox を実行していることが一般的な Microsoft Windows においても Firefox が利用可能であるためです。 Red Hat Enterprise Linux においては、Firefox は特権のないユーザーとして実行される可能性が最も高いため「影響が少ない」と評価します。
これらの理由から、可能な限り、サードパーティのスコアよりも Red Hat が提供する CVSS 基本評価値を使用することをお勧めします。特定の脆弱性について CVSS v3 の基本評価値が間違っていると思われる場合は、お知らせください。重要度について話し合い、必要に応じて更新します。
まとめ
つまり、SUSE や RHL はあくまで 自前の出荷製品(SUSE Linux Enterprise Server や Red Hat Enterprise Linux)の環境を前提として脆弱性を評価しており、Windows や他の Linux 環境の状況まで含めて評価している NVD とは評価値が異なる場合があるよ、ということのようです。
具体例に挙げた脆弱性の場合、SUSE が想定する環境ではリモートから攻撃を受ける可能性がなかったため「AV:P」と評価したのかなと。
それは「環境評価基準」なのではとも思いましたがそうはならないんですね。面白い。
付録
AV:N or not ?
普段、脆弱性情報を見るときには CVSS 基本値よりも AV:N なのか AV:L なのかの方が気になったりします。
CVSS v3.0
参考文献
CVSS v3.0 について
共通脆弱性評価システムCVSS v3概説:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/CVSSv3.html脆弱性対策の効果的な進め方 ~ 脆弱性対策入門 ~
https://www.ipa.go.jp/files/000058610.pdf
SUSE や RHL の CVSS 基本値について
Severity Ratings - Red Hat Customer Portal
https://access.redhat.com/security/updates/classification/SLES Security Rating Overview - Support | SUSE
https://www.suse.com/support/security/rating/vulnerability - Why are the CVSS scores differ so much between Redhat and NVD page? - Information Security Stack Exchange
https://security.stackexchange.com/questions/167679/why-are-the-cvss-scores-differ-so-much-between-redhat-and-nvd-page
CVE-2019-15505 について
Linux Kernelの複数の脆弱性情報(Critical: CVE-2019-15504, CVE-2019-15505) - OSS脆弱性ブログ
https://security.sios.com/vulnerability/kernel-security-vulnerability-20190828.htmlCVE-2019-15505 | SUSE
https://www.suse.com/security/cve/CVE-2019-15505/
CVSS のロゴについて
- Identity & logo usage
https://www.first.org/cvss/identity/
更新履歴
- 2019/10/09 新規作成