<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#ffffff" text="#000000">
    Hello,<br>
    I ask here if CentOS has a xml oval repository. This is the reason
    of my question:<br>
    <br>
    Actually I have an automatic system to check CVE vulnerabilities
    report against RedHat OVAL resources, for example:<br>
    <a class="moz-txt-link-freetext" href="https://www.redhat.com/security/data/oval/com.redhat.rhsa-2011.xml">https://www.redhat.com/security/data/oval/com.redhat.rhsa-2011.xml</a>  
    for 2011 CVEs and RHSAs related OVALS<br>
    <br>
    My problem is that while the mechanism works flawlessly regarding
    Scientific Linux, with CentOS I have false positives reports<br>
    because the patch level numbers for some rpms is somewhat different
    from the one written in the official RedHat OVALS.<br>
    <br>
    I make an example to explain myself better:<br>
    <br>
    Consider CVE-2011-0020 which corresponds to RHSA-2011:0180-1
    security advisory and it regards a pango vulnerability.<br>
    <br>
    RedHat calls the updated rpm which addresses the vulnerability as
    pango-1.14.9-8.el5_6.2 <br>
    <br>
    CentOS calls it as pango-1.14.9-8.el5.centos.2<br>
    <br>
    so we have:<br>
    <br>
    pango-1.14.9-8.el5_6.2  in the RedHat OVALS while CentOS has
    pango-1.14.9-8.el5.centos.2 and I think they both addresses the
    CVE-2011-0020 vulnerability<br>
    but since the naming is different I have a report that my pango RPM
    on CentOS is vulnerable, while on SL with same rpm I have no false
    positives and everything is ok.<br>
    <br>
    So i ask if CentOS has it's own OVAL xml files because I cannot use
    i na realiable way the RedHat OVALS with CentOS for my porpouses.<br>
    <br>
    thank you very much<br>
    <br>
    Rick<br>
    <br>
    <br>
    <br>
    On 4/28/11 4:17 PM, Johnny Hughes wrote:
    <blockquote cite="mid:4DB976FC.90503@centos.org" type="cite">
      <pre wrap="">On 04/28/2011 07:47 AM, Riccardo Veraldi wrote:
</pre>
      <blockquote type="cite">
        <pre wrap="">Hello,
I have seen that package libvirt-0.8.2-15.el5_6.3 on CentOS 5.6 which
addresses CVE-2011-1146
<a class="moz-txt-link-rfc2396E" href="https://www.redhat.com/security/data/cve/CVE-2011-1146.html"><https://www.redhat.com/security/data/cve/CVE-2011-1146.html></a> vulnerability
is not yet available while for example it is on Scientific Linux.
Is there any particular reason why the above rpm update is still not
available on mirrors ?

</pre>
      </blockquote>
      <pre wrap="">
This was pushed, it just had a .el5 instead of .el5_6 dist tag, so it
looks older than the other update.  Corrected and repushed.

Thanks,
Johnny Hughes

</pre>
      <pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
CentOS mailing list
<a class="moz-txt-link-abbreviated" href="mailto:CentOS@centos.org">CentOS@centos.org</a>
<a class="moz-txt-link-freetext" href="http://lists.centos.org/mailman/listinfo/centos">http://lists.centos.org/mailman/listinfo/centos</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>