いつもお世話になっております。
脆弱性評価の見方について教えていただきたく。

①現在、CentOS6を使用しています。
JVNのwebサイトとRedhatの脆弱性情報を確認しますが、
CVSSの値が異なっているのはなぜでしょうか？

例えば「CVE-2016-2107」の場合、JVNのCVSSスコア2.6に対して、
RedhatのCVSSスコアは4になっています。
これは、JVNのwebサイトは基本的な値を表していて、詳細はベンダー製品によって脆弱性の評価が異なるということでしょうか。
また、CentOS6を使用している私の場合は、Redhatの脆弱性情報を参考にすればよろしいでしょうか？

・JVN
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002474.html

・Redhat
https://access.redhat.com/security/cve/cve-2016-2107

②また、CVE-2016-2107はopensslの脆弱性となります。
JVNのWebサイトの対策をみると、1.0.1tにアップグレードが必要の旨記載がありますが、
RedhatのWebサイトをみると、openssl-1.0.1e-48.el6_8.1でCVE-2016-2107の脆弱性は対応しているように見えます。
https://rhn.redhat.com/errata/RHSA-2016-0996.html

また、下記のRPMパッケージのarchiveよりopenssl-1.0.1e-48.el6_8.1のChangelogをみても「fix CVE-2016-2107 - padding oracle in stitched AES-NI CBC-MAC」と記載されています。
https://www.rpmfind.net/linux/RPM/centos/updates/6.8/x86_64/Packages/openssl-1.0.1e-48.el6_8.1.i686.html

これは、opensslのベンダーとは別途、Redhat側で本脆弱性に対応している。この脆弱性に関しては1.0.1tにアップグレードせずとも、openssl-1.0.1e-48.el6_8.1にアップデートすれば問題ない。
という認識でよろしいでしょうか？