Назад | Перейти на главную страницу

OpenSCAP сообщает false для исправлений RHSA на сервере Redhat6 x86_64

изначально выполнял сканирование OpenSCAP и был проинформирован о том, что на сервере было обнаружено 16 совпадений с определениями, требующими исправления.

выполнил обновление yum и перезагрузил указанный сервер, что отражает более новую версию: 2.6.32-696.20.1.el6.x86_64

после установки исправлений было выполнено повторное сканирование OpenSCAP, и 16 совпадений все еще помечены как истинные. проверил детали CVE в ссылках на форум Redhat для CVE, и на моем сервере они уже должны были быть исправлены, поскольку мое ядро ​​обновляется.

в качестве меры предосторожности удалил старые копии файла определения redhat (Red_Hat_Enterprise_Linux_6.xml) и повторно выполнил оценочное сканирование. результаты все еще представлены как 16 обращений к уязвимостям CVE.

выполнял ручное сканирование для каждой CVE, чтобы понять их.

вывод результатов отдельных сканирований в виде образца.

oscap oval eval --id oval: com.redhat.rhsa: def: 20180169 /Red_Hat_Enterprise_Linux_6.xml Овал определения: com.redhat.rhsa: def: 20180169: true Оценка выполнена. [kernel-2.6.32-696.20.1.el6.x86_64.rpm исправление согласно redhat]

oscap oval eval --id oval: com.redhat.rhsa: def: 20180008 /Red_Hat_Enterprise_Linux_6.xml Овал определения: com.redhat.rhsa: def: 20180008: true Оценка выполнена. [kernel-2.6.32-696.18.7.el6.x86_64.rpm исправление согласно redhat]

Был бы очень признателен за руководство, если я сделал что-то не так, или за понимание того, что могло привести к этому сценарию.

моя версия сервера: 2.6.32-696.20.1.el6.x86_64 Версия OpenSCAP ==== Поддерживаемые спецификации ==== Версия XCCDF: 1.2 Версия OVAL: 5.11.1 Версия CPE: 2.3 Версия CVSS: 2.0 Версия CVE: 2.0 Версия идентификации активов: 1.1 Версия формата отчетности по активам: 1.1

сканирование показывает истину, потому что в вашей системе все еще установлены старые пакеты ядра. Попробуйте удалить старое ядро ​​(2.6.32-696.18.7) из вашей системы и повторите сканирование - оно больше не должно сообщать, что ваша система уязвима.