сначала выполнил сканирование OpenSCAP и был проинформирован о том, что на сервере было 16 попаданий в определения, требующие исправления.
выполнил обновление yum и перезагрузился указанный сервер и отражает более новую версию: 2.6.32-696.20.1.el6.x86_64
после исправления повторно выполнил сканирование OpenSCAP, и 16 совпадений все еще помечены как истинные. проверил сведения о CVE в ссылках на форум redhat для CVE, и на моем сервере они уже должны были быть исправлены, поскольку мое ядро обновляется.
в качестве меры предосторожности удалил старые копии файла определения redhat (Red_Hat_Enterprise_Linux_6.xml) и повторно провел оценку сканировать. результаты по-прежнему представлены как 16 обращений к уязвимостям CVE.
выполнял ручное сканирование каждой CVE, чтобы убедиться в их достоверности. Определение овал: com.redhat.rhsa: def: 20180169: true Оценка сделана. [ kernel-2.6.32-696.20.1.el6.x86_64.rpm исправление согласно redhat ]
oscap oval eval --id oval: com.redhat.rhsa: def: 20180008 / Red_Hat_Enterprise_Linux_6. xml Определение овал: com.redhat.rhsa: def: 20180008: true Оценка сделана. [ kernel-2.6.32-696.18.7.el6.x86_64.rpm исправление согласно redhat ]
Буду очень признателен за руководство, если я сделал что-то не так, или понимание того, что могло привести к этому сценарию .
версия моего сервера: 2.6.32-696.20.1.el6.x86_64 Версия OpenSCAP ==== Поддерживаемые спецификации ==== Версия XCCDF: 1.2 Версия OVAL: 5.11.1 Версия CPE: 2.3 Версия CVSS: 2.0 Версия CVE: 2.0 Версия идентификации активов: 1.1 Формат отчета об активах Версия: 1.1
сканирование возвращает истину, поскольку в вашей системе все еще установлены старые пакеты ядра. Попробуйте удалить старое ядро (2.6.32-696.18.7) из вашей системы и повторите сканирование - оно больше не должно сообщать об уязвимости вашей системы.