habe zunächst einen OpenSCAP-Scan durchgeführt und wurde darüber informiert, dass der Server 16 Treffer bei Definitionen hatte, die gepatcht werden müssen.
habe ein Yum-Update durchgeführt und den besagten Server neugestartet und er zeigt die neuere Version an: 2.6.32-696.20.1.el6.x86_64
nach dem Patchen habe ich den OpenSCAP-Scan erneut durchgeführt und die 16 Treffer sind immer noch als wahr markiert. Habe die CVEs-Details in den Links des Redhat-Forums auf CVEs geprüft und mein Server sollte diese Patches bereits haben, da mein Kernel aktualisiert ist.
als Vorsichtsmaßnahme habe ich ältere Kopien der RedHat-Definitionsdatei (Red_Hat_Enterprise_Linux_6.xml) entfernt und einen Auswertungsscan erneut durchgeführt. Die Ergebnisse zeigen weiterhin 16 Treffer für CVE-Schwachstellen.
hat einen manuellen Scan pro CVE durchgeführt und wurde für sie als wahr bestätigt eingestuft.
Die Ausgabe der Ergebnisse der einzelnen Scans erfolgt nachfolgend als Beispiel.
oscap oval eval --id oval:com.redhat.rhsa:def:20180169 /Red_Hat_Enterprise_Linux_6.xml Definition oval:com.redhat.rhsa:def:20180169: true Auswertung abgeschlossen. [kernel-2.6.32-696.20.1.el6.x86_64.rpm-Fix gemäß Redhat]
oscap oval eval --id oval:com.redhat.rhsa:def:20180008 /Red_Hat_Enterprise_Linux_6.xml Definition oval:com.redhat.rhsa:def:20180008: true Auswertung abgeschlossen. [kernel-2.6.32-696.18.7.el6.x86_64.rpm-Fix gemäß Redhat]
Ich wäre sehr dankbar für Hinweise, falls ich etwas falsch gemacht habe, oder für Erkenntnisse darüber, was zu diesem Szenario geführt haben könnte.
meine Serverversion: 2.6.32-696.20.1.el6.x86_64 OpenSCAP-Version ==== Unterstützte Spezifikationen ==== XCCDF-Version: 1.2 OVAL-Version: 5.11.1 CPE-Version: 2.3 CVSS-Version: 2.0 CVE-Version: 2.0 Asset-Identifikationsversion: 1.1 Asset-Reporting-Format-Version: 1.1
Antwort1
Der Scan meldet „true“, da Sie noch die älteren Kernel-Pakete auf Ihrem System installiert haben. Versuchen Sie, den älteren Kernel (2.6.32-696.18.7) von Ihrem System zu entfernen, und scannen Sie erneut. Es sollte nicht mehr gemeldet werden, dass Ihr System anfällig ist.