เพิ่มเติมจาก
https://sysadmin.psu.ac.th/2023/02/14/ubuntu-oval/
OVAL Definition Generator Information (ทางขวาในรายงาน) เป็น Canonical USN OVAL Generator ซึ่งรายงานจะสรุปเป็นหมวดหมู่ช่องโหว่
ต่างจากรายงานที่โครงการ Data Lake ส่งมาใช้ OVAL Definition Generator Information เป็น Canonical CVE OVAL Generator เน้นแสดงตาม CVE จึงไม่มีสรุปว่า CVE เกี่ยวกับช่องโหว่ใด
Tag: oval
-
OVAL Definition Generator Information
-
Debian Oval
https://wiki.debian.org/DebianOval
- ระบบปฏิบัติการ Debian 12.4
- ล็อคอินด้วย root หรือ user ที่สามารถเรียกใช้ sudo ได้
- ติดตั้ง openscap-scanner ด้วยคำสั่ง
apt install -y openscap-scanner
- ดาวน์โหลดไฟล์ Definition จาก https://www.debian.org/security/oval/ เลือกไฟล์ให้ตรงกับรุ่น ของ Debian ที่ใช้งาน ตัวอย่างนี้ใช้ Bookworm (รุ่น 12.4) โหลดไฟล์ชื่อ oval-definitions-bookworm.xml.bz2
- ขยายไฟล์ที่ดาวน์โหลดมาด้วยคำสั่ง
bunzip2 oval-definitions-bookworm.xml.bz2
- ต่อด้วยคำสั่ง
oscap oval eval --report report.html oval-definitions-bookworm.xml
- นำไฟล์ report.html มาเปิดใน web browser
- ช่อง Result ต้องเป็น false ถึงจะ Ok ?
- จบขอให้สนุก
-
Ubuntu OVAL Update2
จากโพสตั้งต้น เมื่อ 6 เดือนก่อนที่
https://sysadmin.psu.ac.th/2023/02/14/ubuntu-oval/มาดูว่ามีอะไรเปลี่ยนแปลงไปบ้างในรายงาน OVAL
- OVAL Results Generator
1.1. v1.2.16 เมื่อวันที่ 6Feb2023@1632 สำหรับ Ubuntu 20.04 LTS
1.2. v1.2.17 เมื่อวันที่ 18Aug2023@0234 สำหรับ Ubuntu 22.04 LTS- OVAL Definition Generator
2.1. เมื่อวันที่ 6Feb2023@0635 มี 1049 Definitions, 2284 Tests, 2264 Variables สำหรับ Ubuntu 20.04 LTS
2.2. เมื่อวันที่ 14Jul2023@0240 มี 513 Definitions, 1043 Tests, 735 Variables สำหรับ Ubuntu 22.04 LTS
2.3. เมื่อวันที่ 16Aug2023@0037 มี 550 Definitions, 1123 Tests, 794 Variables สำหรับ Ubuntu 22.04 LTS -
Ubuntu OVAL
เครื่องมือตรวจสอบช่องโหว่สำหรับอูบุนตู
เพิ่มเติม สำหรับ Ubuntu 24.04 10Jun2024
เมื่อได้รับทราบข้อมูลช่องโหว่ของลีนุกซ์อูบุนตูที่ดูแลอยู่จากเว็บไซต์ให้บริการตรวจสอบช่องโหว่ในระบบได้ฟรีๆ ไม่มีค่าใช้จ่าย เช่น https://www.shodan.io/ ซึ่งบริการฟรี สถานะ Last Seen แสดงวันที่ Shodan แวะเวียนมาตรวจสอบให้ล่าสุด
จึงเกิดคำถามว่า ถ้าเราได้อัพเดตส่วนประกอบพื้นฐานต่างๆ ที่ Ubuntu มีมาให้ด้วยคำสั่ง
sudo apt update
sudo apt dist-upgrade
แล้วจะรู้ได้อย่างไรว่า ช่องโหว่ต่างๆ ได้ถูกปิดให้ปลอดภัยขึ้นแล้วตามคำแนะนำของ Ubuntu ที่มีประกาศข่าวเรื่องความปลอดภัยเกี่ยวกับอูบุนตูไว้ที่ https://ubuntu.com/security/notices
อูบุนตูมี Ubuntu OVAL (Open Vulnerability and Assessment Language) ไว้ให้ใช้ตรวจสอบช่องโหว่ ซึ่งใช้โปรแกรมชื่อ OpenSCAP เพื่อทำรายงานช่องโหว่ให้ดูได้เอง ตามขั้นตอนต่อไปนี้- Login เข้าไปที่เครื่องอูบุนตูที่ใช้อินเทอร์เน็ตได้
- Download ด้วยการใช้คำสั่ง
wget https://security-metadata.canonical.com/oval/com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
หรือเลือก Download ให้ตรง Ubuntu Version จากตัวเลือกที่
https://security-metadata.canonical.com/oval/
โดยให้เลือกแบบ CVE เพื่อจะได้เปรียบเทียบรายการช่องโหว่กับรายงาน Nessus ที่แสดงด้วย CVE เช่นกัน- คลายไฟล์ที่ถูกบีบอัดลดขนาดที่ Download มาได้ ด้วยการใช้คำสั่ง
bunzip2 com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
- ใช้โปรแกรม OpenSCAP เพื่ออ่านเงื่อนไขการตรวจสอบช่องโหว่ต่างๆ บนเครื่อง และสร้างไฟล์รายงานผลชื่อ report.html ด้วยการใช้คำสั่ง
oscap oval eval --report report.html com.ubuntu.$(lsb_release -cs).usn.oval.xml
- เพิ่มเติม จากคุณ เกรียงไกร 15Feb2023 => บางเครื่องต้องติดตั้ง libopenscap8 ก่อนด้วยคำสั่ง sudo apt install libopenscap8 ไม่งั้นใช้ oscap ไม่ได้
- เพิ่มเติม สำหรับ Ubuntu 24.04 10Jun2024 => ต้องติดตั้ง openscap-scanner ด้วยคำสั่ง sudo apt install openscap-scanner ไม่งั้นใช้ oscap ไม่ได้
- ใช้โปรแกรม เว็บบราวเซอร์ เพื่อเปิดอ่านไฟล์รายงานผลชื่อ report.html
ตัวอย่างการใช้งานจริงกับเครื่องบริการทดสอบความเร็วอินเทอร์เน็ต Ookla Server ซึ่งใช้เป็นตัวอย่างแสดง
- Ubuntu Server 20.04 5.4.0-121#137 15Jun2022 ก่อนจะใช้คำสั่ง sudo apt dist-upgrade เพื่อปรับปรุงความปลอดภัย
ในรายงานแสดงจำนวน 14 #X ที่ยังมีช่องโหว่ พร้อมด้วยรายการช่องโหว่หมายเลข USN และ CVE ต่างๆ โดยละเอียดตามรูป - Ubuntu Server 20.04 5.4.0-137#154 5Jan2023 เมื่อได้ใช้คำสั่ง sudo apt dist-upgrade ปรับปรุงความปลอดภัยและรีบูทเครื่องแล้ว
ในรายงานแสดงจำนวน 2 #X ที่ยังมีช่องโหว่ พร้อมด้วยรายการช่องโหว่หมายเลข USN และ CVE ต่างๆ โดยละเอียดตามรูป - เนื่องจากส่วนการปรับปรุงความปลอดภัยอีก 2 รายการที่ยังเหลืออยู่นั้นทาง Ubuntu จะมีบริการให้เฉพาะกับสมาชิก Ubuntu Pro https://ubuntu.com/pro เท่านั้น (จะเขียนคำแนะนำเพิ่มให้ครับ)
ซึ่งหลังจากทำตามขั้นตอนใส่ คีย์ ของ Ubuntu Pro ลงบน เครื่องอูบุนตูของเราเรียบร้อย และอัพเดตความปลอดภัยเพิ่มจากสิทธิ์ Ubuntu Pro ในรายงาน OVAL จะได้รับการอัพเดตปิดกั้นช่องโหว่อย่างครบถ้วน ตามรูป - ถึงแม้ว่าวันนี้ อูบุนตู ของท่านจะได้รับการอัพเดตล่าสุดแล้ว แต่ด้วยภัยคุกคามทางไซเบอร์มีการเปลี่ยนแปลงอยู่เสมอ ก็อย่าลืมติดตามอ่านข่าวสารเกี่ยวกับความปลอดภัยไซเบอร์ และหมั่นปรับปรุง อัพเดต อยู่เป็นประจำครับ