最初进行了 OpenSCAP 扫描,并获悉服务器有 16 次命中需要修补的定义。
执行 yum 更新并重新启动服务器,并反映出较新的版本:2.6.32-696.20.1.el6.x86_64
修补后,重新进行了 OpenSCAP 扫描,16 次命中仍然标记为真。检查了 redhat 论坛链接上的 CVE 详细信息,我的服务器应该已经修补了它们,因为我的内核已经更新。
作为预防措施,删除了 redhat 定义文件 (Red_Hat_Enterprise_Linux_6.xml) 的旧副本并重新进行了评估扫描。结果仍然显示有 16 次 CVE 漏洞命中。
对每个 CVE 执行手动扫描,以确保其真实性。
输出单个扫描的结果如下作为示例。
oscap oval eval --id oval:com.redhat.rhsa:def:20180169 /Red_Hat_Enterprise_Linux_6.xml 定义 oval:com.redhat.rhsa:def:20180169: true 评估完成。[kernel-2.6.32-696.20.1.el6.x86_64.rpm 按照 redhat 进行修复]
oscap oval eval --id oval:com.redhat.rhsa:def:20180008 /Red_Hat_Enterprise_Linux_6.xml 定义 oval:com.redhat.rhsa:def:20180008: true 评估完成。[kernel-2.6.32-696.18.7.el6.x86_64.rpm 按照 redhat 进行修复]
如果我做错了什么,或者对可能导致这种情况的原因有所了解,我将非常感激您的指导。
我的服务器版本:2.6.32-696.20.1.el6.x86_64 OpenSCAP 版本 ==== 支持的规格 ==== XCCDF 版本:1.2 OVAL 版本:5.11.1 CPE 版本:2.3 CVSS 版本:2.0 CVE 版本:2.0 资产识别版本:1.1 资产报告格式版本:1.1
答案1
扫描报告为真,是因为您的系统上仍然安装了较旧的内核包。请尝试从系统中删除较旧的内核 (2.6.32-696.18.7),然后重新扫描 - 扫描结果应该不会再报告您的系统存在漏洞。