setodaNote

忘れる用のメモ書き for Cybersecurity

CVSS 基本値は評価主体によって値が異なる場合がある

📑メモ

CVSS 基本値

脆弱性情報が公開された際に、合わせて CVSS による「基本評価基準(Base Metrics)」の評価値(基本値)が示されることがよくあります。 この CVSS 基本値は脆弱性そのものの深刻度を評価したもので、NIST(NVD) や RHL、SUSE、IPA などが評価値を公表していたりします。

f:id:soji256:20191009184019p:plain:w450
Common Vulnerability Scoring System (CVSS)

脆弱性そのものに対する評価なのだからその結果はだれが評価しても同じなのかなと思っていたのですが、実際にはこの基本値というのは評価主体によって値が異なる場合があるようだったので、少し調べてみました。

CVSS 基本値が大きく異る実例:CVE-2019-15505

例えば CVE-2019-15505 と番号が割り振られた脆弱性について NVD と SUSE が CVSS 基本値を公表していますが、その値はそれぞれ 9.8 と 6.1 となっており 3.7 もの差が生じています。

CVE-2019-15505 の CVSS Score / CVSS Vector

National Vulnerability Database SUSE
Base Score 9.8 6.1
Vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Access Vector Network Physical
Access Complexity Low Low
Privileges Required None None
User Interaction None None
Scope Unchanged Unchanged
Confidentiality Impact High High
Integrity Impact High None
Availability Impact High High

 

この脆弱性の内容は「細工されたUSBトラフィック(usbipまたはusbredirを介したリモートからの可能性がある)により境界外読み込みが発生する可能性がある」というものです。

NVD ではこの脆弱性について AV(攻撃元区分)を「ネットワーク」として評価していますが、SUSE は「物理」として評価しており、結果として CVSS 基本値も大きく異なっています。

CVSS 基本値が異なる理由について

SUSE、RHL ともに CVSS 基本値が NVD のそれと異なる場合がある理由を説明しているページが作られていました。以下、日本語訳は独自に追加したものです。

SUSE

Note that SUSE scores only security issues affecting our products, and that those scores occasionaly differ from the NVD base scoring due to different assumptions on the products the components are shipped in.

SLES Security Rating Overview - Support | SUSE
https://www.suse.com/support/security/rating/

(日本語訳)

SUSE の評価値は当社製品に影響するセキュリティ上の問題のみに対するものであり、想定している製品条件が異なる NVD 基本評価値とは差が生じる場合があります。

RHL

Differences Between NVD and Red Hat Scores
 
For open source software shipped by multiple vendors, the CVSS base scores may vary for each vendor's version, depending on the version they ship, how they ship it, the platform, and even how the software is compiled. This makes scoring of vulnerabilities difficult for third-party vulnerability databases, such as NVD, who can give only a single CVSS base score to each vulnerability.
 
These differences can cause the scores to vary widely. For example, NVD rates Firefox flaws as having High impact metrics because the Firefox application is also available for Microsoft Windows, where it is common that the user is running Firefox with administrator privileges. For Red Hat Enterprise Linux, we use Low impact metrics, as Firefox is most likely to be run as an unprivileged user.
 
For these reasons, we recommend that, whenever possible, you use a CVSS base score provided by Red Hat in preference to a score from a third party. Please let us know if you believe we have given an incorrect CVSS v3 base score for a particular vulnerability. We are happy to discuss the severity and update it if needed.

Severity Ratings - Red Hat Customer Portal
https://access.redhat.com/security/updates/classification/

(日本語訳)

NVD と Red Hat スコアの違い
 
 複数のベンダーが出荷しているオープンソースソフトウェアの場合、CVSSの基本評価値は、各ベンダーのバージョン、ベンダーが出荷しているバージョン、出荷方法、プラットフォーム、さらにはソフトウェアのコンパイル方法によって異なる場合があります。このため、各脆弱性にCVSSの基本評価値を1つしか付けられないサードパーティの脆弱性データベース (NVDなど) では、脆弱性のスコア付けが困難になります。
 
 これらの違いにより、評価値が大きく異なる場合があります。たとえば、NVD は Firefox の脆弱性を「影響が大きい」と評価します。これは、ユーザーが管理者権限で Firefox を実行していることが一般的な Microsoft Windows においても Firefox が利用可能であるためです。 Red Hat Enterprise Linux においては、Firefox は特権のないユーザーとして実行される可能性が最も高いため「影響が少ない」と評価します。
 
 これらの理由から、可能な限り、サードパーティのスコアよりも Red Hat が提供する CVSS 基本評価値を使用することをお勧めします。特定の脆弱性について CVSS v3 の基本評価値が間違っていると思われる場合は、お知らせください。重要度について話し合い、必要に応じて更新します。

まとめ

つまり、SUSE や RHL はあくまで 自前の出荷製品(SUSE Linux Enterprise Server や Red Hat Enterprise Linux)の環境を前提として脆弱性を評価しており、Windows や他の Linux 環境の状況まで含めて評価している NVD とは評価値が異なる場合があるよ、ということのようです。

具体例に挙げた脆弱性の場合、SUSE が想定する環境ではリモートから攻撃を受ける可能性がなかったため「AV:P」と評価したのかなと。

それは「環境評価基準」なのではとも思いましたがそうはならないんですね。面白い。

付録

AV:N or not ?

普段、脆弱性情報を見るときには CVSS 基本値よりも AV:N なのか AV:L なのかの方が気になったりします。

CVSS v3.0

f:id:soji256:20190922190206p:plain
CVSS パラメーターの短縮表記例

f:id:soji256:20190922174506p:plain
CVSS の評価項目と評価値

参考文献

CVSS v3.0 について

SUSE や RHL の CVSS 基本値について

CVE-2019-15505 について

CVSS のロゴについて

更新履歴

  • 2019/10/09 新規作成