在 NVD 网站上,CVE-2023-1989据称该漏洞存在于各种内核中,包括 5.11 至 5.15.105。在对 5.15.0 映像进行 OpenSCAP 扫描后,我发现生成的报告中缺少该漏洞和其他几个漏洞。
在里面Jammy OVAL XMLOpenSCAP 使用的文件,CVE 定义位于 下oval:com.ubuntu.jammy:def:60331000000,其中指定了两个测试:
<unix:uname_test check="at least one" comment="Is kernel 6.1.0-\d+(-oem) currently running?" id="oval:com.ubuntu.jammy:tst:603310000000" version="1">
<unix:object object_ref="oval:com.ubuntu.jammy:obj:603310000000"/>
<unix:state state_ref="oval:com.ubuntu.jammy:ste:603310000000"/>
</unix:uname_test>
<ind:variable_test id="oval:com.ubuntu.jammy:tst:603310000010" version="1" check="all" check_existence="all_exist" comment="kernel version comparison">
<ind:object object_ref="oval:com.ubuntu.jammy:obj:603310000010"/>
<ind:state state_ref="oval:com.ubuntu.jammy:ste:603310000010"/>
</ind:variable_test>
链接state_ref至:
<ind:variable_state id="oval:com.ubuntu.jammy:ste:603310000010" version="1">
<ind:value datatype="debian_evr_string" operation="less than">0:6.1.0-1009</ind:value>
</ind:variable_state>
这意味着只有运行 6.1.0-n 的内核才会被检查 n<1099。但是,例如 5.15.0 内核确实存在漏洞,因为它的来源不包含对应补丁在drivers/bluetooth/btsdio.c。
为什么 OVAL 文件不包含对旧内核的检查?
答案1
linux你可以确认 Jammy 中的源包中的 CVE-2023-1989 尚未修复这里是 Ubuntu 安全跟踪器 CVE-2023-1989 的页面。
从 OVAL 片段中,您还可以获取 USN 编号,并在其上进行确认USN 公告页面,仅涵盖源包linux-oem-6.1。
每当内核团队在linuxJammy 上的源包中修补该 CVE 时,Ubuntu 安全团队就会发布一个新的 USN,然后将其添加到 OVAL 文件中的新条目中。