OpenVAS を使用してボックスの 1 つを監査したところ、デバイスに多数の Solaris パッチが不足していることが報告されました。これらが誤検知であるかどうかを判断しようとしているので、質問があります。ご指導いただければ幸いです。
たとえば、OpenVAS がパッチがないことを報告し141001-03、実際にパッチを適用しても、patchadd -p | grep 141001-03パッチがないことが正しいことを示す標準出力は表示されません141001-03。ただし、grep で「」と141001検索して一致する結果が返される151001-60 Obsoletes: 141001-04が、システムに 141001-04 がインストールされていない場合、Solaris パッチは「累積的」であるため、脆弱性を修正するのにまだ必要であるか、141001-03または151001-03十分であることを意味するのでしょうか。
この件に関してもう一つ関連する質問ですが、「現在のリビジョンがインストールされていません」と表示されている場合、必ずしも必要ではないということでしょうか。
答え1
この場合、141001-03 は 141001-04 に置き換えられました。そして、インストールした 151001-60 に置き換えられました。したがって、システムには 141001-03、141001-04、および 151001-60 に関連する問題が修正されています。累積的なパッチです。
詳細については、Oracleのページをご覧ください。Solaris パッチの種類と依存関係の概要
「現在のリビジョンがインストールされていません」とはどういう意味かわかりませんが、必ずしも必要ではないという意味ですか? 詳しく説明していただけますか?
答え2
簡単に言えば、パッチが別のパッチを廃止すると記載されている場合、不足していると表示されているパッチを適用する必要はありません。したがって、あなたの場合は適用141001-XXする必要はありません。実際、適用しようとすると、それを置き換えるパッチがすでに存在すると記載されます。
現在のリビジョンがインストールされていないことは、どちらの方法でも確認できます。スキャナがそれを報告した場合、おそらくそれが必要です。ただし、適用する前にそれが何であるかを確認してください。たとえば、一部のスキャナは、Oracle 推奨パッチ バンドルに基づいてチェックを行います。このバンドルには、たとえば Firefox のパッチが含まれています。これを削除した場合、リビジョンが見つからないと判断され、ソフトウェアがインストールされていないため、パッチをインストールする必要はありません。一方、インストールしたソフトウェアでパッチが適用されていない場合は、インストールする必要がある可能性があります。