我正在使用 OpenSCAP 扫描一些运行 18.04 LTS 的系统,Ubuntu OVAL 文件。扫描结果显示系统存在如下漏洞USN-5123-1当我们尚未安装 Ubuntu 站点上的 USN 中引用的 mysql-server 软件包时。查看 OVAL XML,这似乎是因为该 USN 的测试会查找许多其他软件包,包括 libmysqlclient20,而我们确实有这个软件包(请参阅 XML 中的 oval:com.ubuntu.bionic:var:512310000000)。
该网站和 OVAL 之间出现明显分歧的原因是什么?
答案1
我们尝试将 USN 中列出的二进制包精简为我们认为与相关修复相关的包,以避免电子邮件出现包含数十或数百个包的荒谬长列表。(-dev 或 -doc 包实际上几乎从未受到安全问题的影响。)
我们选择将单个源包生成的所有二进制包列为 OVAL 数据馈送中受影响的包。虽然从提供客户端和服务器的源包的角度来看,这可能会产生误导,但这是保守的选择,也反映了包升级的预期方式。
(在 MySQL 的具体情况下,这也是一个好主意:Oracle 不会发布太多有关其安全问题的信息。我们不应该试图猜测哪个二进制包包含 Oracle 的哪些特定 CVE 修复。最好在它们发布时全部升级它们,而不是试图了解哪些特定修复在哪些特定包中。)
USN 软件包列表经过了少许删减,以保持其可读性。OVAL 有意列出所有内容。这两种方法都有问题,但我们认为 OVAL 应该在安全性方面有所取舍,而 USN 应该在可读性方面有所取舍。
谢谢