我已经广泛使用 OpenScap 和 Canonical 提供的 OVAL 定义一年了(https://security-metadata.canonical.com/oval/) 。
它运行良好,但我对 Ubuntu 20.04 和 22.04 的一些与内核相关的 CVE 的结果感到困惑。
让我们以 CVE-2022-43945 为例:https://ubuntu.com/security/CVE-2022-43945 修补此 CVE 的内核版本为 Ubuntu 22.04 的 5.15.0-56.62。
在这台机器上,一切都是最新的:
fjc@nas:~$ apt list --upgradable
En train de lister... Fait
fjc@nas:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 22.04.1 LTS
Release: 22.04
Codename: jammy
fjc@nas:~$ uname -a
Linux nas 5.15.0-56-generic #62-Ubuntu SMP Tue Nov 22 19:54:14 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux
我根据最新的 OVAL 定义运行 openscap:
fjc@nas:~$ wget -O com.ubuntu.$(lsb_release -cs).cve.oval.xml.bz2 https://security-metadata.canonical.com/oval/com.ubuntu.$(lsb_release -cs).cve.oval.xml.bz2
--2022-12-10 17:47:11-- https://security-metadata.canonical.com/oval/com.ubuntu.jammy.cve.oval.xml.bz2
Resolving security-metadata.canonical.com (security-metadata.canonical.com)... 185.125.190.29, 185.125.190.20, 185.125.190.21, ...
Connecting to security-metadata.canonical.com (security-metadata.canonical.com)|185.125.190.29|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2121903 (2,0M) [application/x-bzip2]
Saving to: ‘com.ubuntu.jammy.cve.oval.xml.bz2’
com.ubuntu.jammy.cve.oval.xml.bz2 100%[====================================================================================================================================================>] 2,02M 658KB/s in 3,1s
2022-12-10 17:47:15 (658 KB/s) - ‘com.ubuntu.jammy.cve.oval.xml.bz2’ saved [2121903/2121903]
fjc@nas:~$ bunzip2 -f com.ubuntu.$(lsb_release -cs).cve.oval.xml.bz2
fjc@nas:~$ oscap oval eval --report report_cve_$(hostname).html com.ubuntu.$(lsb_release -cs).cve.oval.xml | grep 202243945
Definition oval:com.ubuntu.jammy:def:2022439450000000: true
对于 CVE-2022-43945 来说,结果是正确的!
在我看来,这似乎是误报,对吗?这是 OVAL 定义中的错误,还是故意的,因为即使使用正确的内核版本,CVE 也可能无法完全消除?几个月来,我注意到一些与内核相关的 CVE 都存在这种情况。(如果我没记错的话,我在 18.04 中从未遇到过这种情况)