<div dir="ltr">Hi all,<div><br></div><div>I'm running the OVAL files found in <a href="https://people.canonical.com/~ubuntu-security/oval/">https://people.canonical.com/~ubuntu-security/oval/</a>. When I run <i>com.ubuntu.xenial.cve.oval.xml</i>, openscap shows that I have a lot of vulnerabilities in my system, but the software related to the vulnerabilities is <b>not installed</b> in my system. So, what is happening?.</div><div><br></div><div>Example:</div><div>CVE-2013-2071 on Ubuntu 16.04 LTS (xenial) - medium<br></div><div><br></div><div>java/org/apache/catalina/core/AsyncContextImpl.java in Apache Tomcat 7.x before 7.0.40 does not properly handle the throwing of a RuntimeException in an AsyncListener in an application, which allows context-dependent attackers to obtain sensitive request information intended for other applications in opportunistic circumstances via an application that records the requests that it processes.<br></div><div><br></div><div>If we see the oval file:</div><div>-----<br></div><div><div><criteria></div><div> <extend_definition definition_ref="oval:com.ubuntu.xenial:def:100" comment="Ubuntu 16.04 LTS (xenial) is installed." applicability_check="true" /></div><div> <criteria operator="OR"></div><div> <criterion test_ref="oval:com.ubuntu.xenial:tst:<b>20132071000</b>" comment="While related to the CVE in some way, the 'tomcat6' package in xenial is not affected." /></div><div> <criterion test_ref="oval:com.ubuntu.xenial:tst:20132071010" comment="While related to the CVE in some way, the 'tomcat7' package in xenial is not affected (note: '7.0.40-1')." /></div><div><span style="white-space:pre"> </span></criteria></div><div></criteria></div></div><div><br></div><div><div><linux-def:dpkginfo_test id="oval:com.ubuntu.xenial:tst:<b>20132071000</b>" version="1" <b>check_existence="any_exist" check="all" comment="Returns true whether or not the 'tomcat6' package exists."</b>></div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span><linux-def:object object_ref="oval:com.ubuntu.xenial:obj:<b>20123544000</b>"/></div><div></linux-def:dpkginfo_test></div><div><br></div><div><linux-def:<b>dpkginfo_objec</b>t id="oval:com.ubuntu.xenial:obj:<b>20123544000</b>" version="1" comment="The 'tomcat6' package."></div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span><linux-def:name><b>tomcat6</b></linux-def:name></div><div></linux-def:dpkginfo_object></div></div><div>----</div><div><br></div><div>The oval is checking if I have installed tomcat 6 or 7. It is not installed in my system, but the check returns always <b>true</b>. It is due to the attribute <b>check_existence="any_exist" (</b><a href="http://oval.mitre.org/language/version5.4/ovaldefinition/documentation/oval-common-schema.html">http://oval.mitre.org/language/version5.4/ovaldefinition/documentation/oval-common-schema.html</a>).</div><div><br></div><div>Is it a bug?</div><div><br></div><div>Thanks.</div><div><br></div><div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><b style="font-size:12.8px"><font color="#0b5394">Jesus Linares</font></b><div style="font-size:12.8px"><i><font color="#999999">IT Security Engineer</font></i></div><div style="font-size:12.8px"><i><font color="#999999"><img src="https://docs.google.com/uc?export=download&id=0Bx75KsPzHxO_THFpRzBONGpoeWs&revid=0Bx75KsPzHxO_aG5WOW1OU3p3V3JOVUczVDlPViszMTdGZUtrPQ" width="96" height="16"><br></font></i></div></div></div>
</div></div>