<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#ffffff" text="#000000">

    Hello,<br>

    I ask here if CentOS has a xml oval repository. This is the reason

    of my question:<br>

    <br>

    Actually I have an automatic system to check CVE vulnerabilities

    report against RedHat OVAL resources, for example:<br>

    <a class="moz-txt-link-freetext" href="https://www.redhat.com/security/data/oval/com.redhat.rhsa-2011.xml">https://www.redhat.com/security/data/oval/com.redhat.rhsa-2011.xml</a>  

    for 2011 CVEs and RHSAs related OVALS<br>

    <br>

    My problem is that while the mechanism works flawlessly regarding

    Scientific Linux, with CentOS I have false positives reports<br>

    because the patch level numbers for some rpms is somewhat different

    from the one written in the official RedHat OVALS.<br>

    <br>

    I make an example to explain myself better:<br>

    <br>

    Consider CVE-2011-0020 which corresponds to RHSA-2011:0180-1

    security advisory and it regards a pango vulnerability.<br>

    <br>

    RedHat calls the updated rpm which addresses the vulnerability as

    pango-1.14.9-8.el5_6.2 <br>

    <br>

    CentOS calls it as pango-1.14.9-8.el5.centos.2<br>

    <br>

    so we have:<br>

    <br>

    pango-1.14.9-8.el5_6.2  in the RedHat OVALS while CentOS has

    pango-1.14.9-8.el5.centos.2 and I think they both addresses the

    CVE-2011-0020 vulnerability<br>

    but since the naming is different I have a report that my pango RPM

    on CentOS is vulnerable, while on SL with same rpm I have no false

    positives and everything is ok.<br>

    <br>

    So i ask if CentOS has it's own OVAL xml files because I cannot use

    i na realiable way the RedHat OVALS with CentOS for my porpouses.<br>

    <br>

    thank you very much<br>

    <br>

    Rick<br>

    <br>

    <br>

    <br>

    On 4/28/11 4:17 PM, Johnny Hughes wrote:

    <blockquote cite="mid:4DB976FC.90503@centos.org" type="cite">

      <pre wrap="">On 04/28/2011 07:47 AM, Riccardo Veraldi wrote:

</pre>

      <blockquote type="cite">

        <pre wrap="">Hello,

I have seen that package libvirt-0.8.2-15.el5_6.3 on CentOS 5.6 which

addresses CVE-2011-1146

<a class="moz-txt-link-rfc2396E" href="https://www.redhat.com/security/data/cve/CVE-2011-1146.html"><https://www.redhat.com/security/data/cve/CVE-2011-1146.html></a> vulnerability

is not yet available while for example it is on Scientific Linux.

Is there any particular reason why the above rpm update is still not

available on mirrors ?

</pre>

      </blockquote>

      <pre wrap="">

This was pushed, it just had a .el5 instead of .el5_6 dist tag, so it

looks older than the other update.  Corrected and repushed.

Thanks,

Johnny Hughes

</pre>

      <pre wrap="">

<fieldset class="mimeAttachmentHeader"></fieldset>

_______________________________________________

CentOS mailing list

<a class="moz-txt-link-abbreviated" href="mailto:CentOS@centos.org">CentOS@centos.org</a>

<a class="moz-txt-link-freetext" href="http://lists.centos.org/mailman/listinfo/centos">http://lists.centos.org/mailman/listinfo/centos</a>

</pre>

    </blockquote>

    <br>

  </body>

</html>