使用yum update kernel将kernel更新至最新版本后,VSS扫描EulerOS仍报出大量kernel漏洞。这种情况不属于VSS工具误报,而是由于升级kernel之后未及时重启并使用最新版本的kernel运行。kernel升级到最新版本后未重启并运行,实际上仍然使用未升级前的kernel扫描系统,所以漏洞仍然存在。
执行 如下命令可以查看当前系统安装了哪些版本的 kernel。
rpm -qa | grep kernel
执行如下命令可以查看当前系统实际使用的是什么版本的kernel。
uname -a
注意
上面例子中就是实际使用的是低版本的存在大量CVE漏洞的kernel,因此使用VSS扫描仍会报kernel存在CVE-2020-0465等漏洞。
此案例对于使用了CentOS、EulerOS、Red Hat、SUSE的用户均适用。
此外还有某些情况下,用户使用的yum源并不是操作系统官方最新的源,也即yum源中没有操作系统最新的安全补丁,此种情况下也可能报出kernel漏洞未修复的问题。此种情况下需要更新yum源为操作系统官方源或者向操作系统提供方寻求安全补丁的支持。总之,需要基于VSS扫描报告中的“修复建议”中的installed version和fixed version的内容,进行分析和修复。