最初に OpenSCAP スキャンを実行し、サーバーにパッチ適用が必要な定義が 16 件ヒットしたことを通知されました。
yum update を実行し、サーバーを再起動すると、新しいバージョンが反映されます:2.6.32-696.20.1.el6.x86_64
パッチ適用後、OpenSCAP スキャンを再度実行しましたが、16 件のヒットがまだ true としてマークされています。CVE については、RedHat フォーラム リンクで CVE の詳細を確認しましたが、カーネルが更新されているため、サーバーにはすでにパッチが適用されているはずです。
予防措置として、RedHat 定義ファイル (Red_Hat_Enterprise_Linux_6.xml) の古いコピーを削除し、評価スキャンを再度実行しました。結果は、依然として CVE 脆弱性のヒットが 16 件として表示されています。
CVE ごとに手動スキャンを実行し、それらが正しいことを確認しました。
個々のスキャンの結果をサンプルとして次のように出力します。
oscap oval eval --id oval:com.redhat.rhsa:def:20180169 /Red_Hat_Enterprise_Linux_6.xml 定義 oval:com.redhat.rhsa:def:20180169: true 評価が完了しました。[kernel-2.6.32-696.20.1.el6.x86_64.rpm を Redhat に従って修正]
oscap oval eval --id oval:com.redhat.rhsa:def:20180008 /Red_Hat_Enterprise_Linux_6.xml 定義 oval:com.redhat.rhsa:def:20180008: true 評価が完了しました。[kernel-2.6.32-696.18.7.el6.x86_64.rpm を Redhat に従って修正]
何か間違ったことをしてしまった場合のアドバイスや、このシナリオの原因となった可能性のある点についての洞察をいただければ幸いです。
私のサーバーのバージョン: 2.6.32-696.20.1.el6.x86_64 OpenSCAP バージョン ==== サポートされている仕様 ==== XCCDF バージョン: 1.2 OVAL バージョン: 5.11.1 CPE バージョン: 2.3 CVSS バージョン: 2.0 CVE バージョン: 2.0 資産識別バージョン: 1.1 資産報告フォーマットバージョン: 1.1
答え1
システムに古いカーネル パッケージがまだインストールされているため、スキャンは正しいと報告しています。システムから古いカーネル (2.6.32-696.18.7) を削除して、再度スキャンしてみてください。システムが脆弱であるという報告はなくなるはずです。