OpenSCAP错误地报告RHSA-2014:1306: bash安全更新(重要)

Question

我使用以下命令测试RHSA-2014:1306在CentOS 5.9上：

oscap oval eval --id oval:com.redhat.rhsa:def:20141306 com.redhat.rhsa-all.xml

结果是：

Definition oval:com.redhat.rhsa:def:20141306: false
Evaluation done.

我希望它返回true而不是false，因为安装的版本是bash-3.2-32.el5_9.1，它比3.2-33.el5_11.4小。

如果我根据XCCDF文件进行评估，则输出如下：

Title   RHSA-2014:1306: bash security update (Important)
Rule    oval-com.redhat.rhsa-def-20141306
Ident   RHSA-2014-1306
Ident   CVE-2014-7169
Ident   CVE-2014-7186
Ident   CVE-2014-7187
Result  pass

但我的bash版本不应该通过。如果我测试谢尔休克脆弱性，我会得到以下信息：

# env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"
vulnerable
bash: BASH_FUNC_x(): line 0: syntax error near unexpected token `)'
bash: BASH_FUNC_x(): line 0: `BASH_FUNC_x() () { :;}; echo vulnerable'
bash: error importing function definition for `BASH_FUNC_x'
test

这怎么可能是？

Answer 1

我成功地测试了来自MITRE：http://oval.mitre.org/rep-data/5.10/org.mitre.oval/p/index.html的CentOS 5椭圆补丁定义。

因此，在对CentOS进行评估时，红帽椭圆定义看起来不起作用。