我一直在将Ubuntu 安全网站上提供的 CVE 数据与从相应 OVAL 文件中提取的信息进行比较。在分析 Jammy (22.04 LTS) 时,我注意到 OVAL 文件不包含对HWE 内核 6.8 的任何引用,尽管该内核已在网站上列出。
例如,在网站上,CVE-2024-38541指出:
linux-hwe-6.8 -> 22.04 LTS (Jammy) -> Fixed in 6.8.0-40.40~22.04.3
然而,在OVAL 文件中没有提到linux-hwe-6.8,而存在较旧的 HWE 内核,例如 linux-hwe-5.19、linux-hwe-6.2 和 linux-hwe-6.5:
<criteria operator="OR">
<criterion test_ref="oval:com.ubuntu.jammy:tst:201245420000000" comment="Is kernel linux running?"/>
<criterion test_ref="oval:com.ubuntu.jammy:tst:201245420000160" comment="Is kernel linux-hwe-5.19 running?"/>
<criterion test_ref="oval:com.ubuntu.jammy:tst:201245420000270" comment="Is kernel linux-hwe-6.2 running?"/>
<criterion test_ref="oval:com.ubuntu.jammy:tst:201245420000350" comment="Is kernel linux-hwe-6.5 running?"/>
<criterion test_ref="oval:com.ubuntu.jammy:tst:201245420000050" comment="Is kernel linux-kvm running?"/>
...
</criteria>
这些信息缺失是不是出于某种原因?这可能是 OVAL 文件中的错误吗?我是不是忽略了什么?
任何见解都将不胜感激。提前致谢!
现在应该已经修复了,这是服务器生成数据时出现的问题。