Анализ рисков, связанных с проблемами безопасности в Red Hat Enterprise Linux 4

03.06.2010 12:39

Компания Red Hat опубликовала отчет (PDF, 1.4 Мб) с анализом уязвимостей, исправленных в дистрибутиве Red Hat Enterprise Linux 4 за последние пять лет. В отчете поднимается больная тема - скрытое устранение уязвимостей в различных программах. По данным Red Hat для 52% из исправленных в RHEL 4 уязвимостей изначально информация не была публично обнародована разработчиками, в среднем данные по этим уязвимостям стали известны общественности только через 22 дня после того, как работники Red Hat уже имели информацию об их наличии.

Всего за 5 лет существования в базовой поставке разных сборок дистрибутива было найдено критических уязвимостей:

Enterprise Linux 4 AS (установка по умолчанию) — 14
Enterprise Linux 4 WS (установка по умолчанию) — 183
Enterprise Linux 4 AS (все доступные пакеты) — 187

Распределение критических ошибок по группам пакетов:

Продукты Mozilla (Firefox, Mozilla, SeaMonkey, Thunderbird) - 143 (среднее время выхода обновления - 1 день)
Media Player Plugin (HelixPlayer) - 14 (среднее время выхода обновления - 21 день)
Другие web-браузеры (Lynx, Links, KDE, QT) - 8 (обновления вышли в день обнаружения проблемы)
Другое (Samba, Sendmail, Pidgin, kerberos, openssh, dhcp, ntp, evolution) - 22 (обновления вышли в день обнаружения проблемы)

Десять самых опасных приложений:

firefox - 135 критических/32 опасных проблем;
mozilla/seamonkey - 120/24
thunderbird - 52/24
kernel - 0/138
HelixPlayer - 14/0
cups - 0/32 11 5
krb5 - 4/10
kdelibs - 5/4
kdegraphics - 0/29
xpdf - 0/28

Некоторые выводы:

86% критических ошибок были исправлены не позднее чем через 1 день после публичного обнародования уязвимости;
Для 76 уязвимостей в публичном доступе можно было найти готовый эксплоит, но для применения большинства из них требовалось изменение настроек по умолчанию или стимулирование пользователя к выполнению определенных действий. При этом удачное выполнение большого числа из данных эксплоитов блокировалось стандартными механизмами безопасности RHEL 4. 13 эксплоитов использовали ошибки в Linux-ядре, 22 - в web-браузерах, 8 - в PHP скриптах, 11 - в сетевых сервисах, остальные в пользовательских приложениях;
Наиболее вероятным исходом эксплуатации неисправленной уязвимости является получения прав root локальным пользователем;
За историю существования дистрибутива RHEL4 зафиксировано два самораспространяющихся червя, но они поражали систему только через сторонние web-приложения на языке PHP, не входящие в репозитории RHEL;
При использовании пользователями словарных паролей было зафиксировано несколько успешных "Brute force" атак, при которых пароли были подобраны через SSH.

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/26823-security

Ключевые слова: security, redhat, rhel

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, me (??), 13:22, 03/06/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
мозилла шикарна

2.10, User294 (ok), 17:28, 03/06/2010 [^] [^^] [^^^] [ответить]	+1 +/–
> (среднее время выхода обновления - 1 день) MS, учитесь! Это вам не месяц бакланить пока всею юзеров во все дыры поимеют! :))))

3.18, Анонимко (?), 20:38, 03/06/2010 [^] [^^] [^^^] [ответить]	+/–
Месяцы :( На моей памяти было несколько случаев, когда (невовремя выпущенная) заплатка порождала сама новые проблемы после своего выпуска. А бедные юзеры ее от безысходности ставили сами.

3.21, Zenitur (?), 00:55, 04/06/2010 [^] [^^] [^^^] [ответить]	+/–
"Во все дыры поимеют" думаю, не потому, что обновления выпукаются поздно, а потому, что они выпускаются три раза в неделю :-) Статистика отличная! Оказывается, мой Linux 2006 года с обновляемыми самостоятельно программами не будет взломан! Критических уязвимотей у почти всех этих программ - 0... 52% уязвимостей были обнародованы почти через месяц после того, как насчёт их решения обратятся к специалистам Ред Хат. Уверен, 50% из них - в продуктах Mozilla. Сообщество Fedora и Red Hat поэтому и быстрее других.

4.23, Wormeg (?), 11:31, 04/06/2010 [^] [^^] [^^^] [ответить]

+/–

Ссылки про поддержку дистрибутивов и её работу:

Сравнение техподдержек Canonical, Novell и Red Hat: http://wiki.linuxformat.ru/index.php/LXF95:Ни_секунды_простоя

Сроки исправления уязвимости в репозитариях приложений различных дистрибутивов: http://wiki.linuxformat.ru/index.php/LXF94:Супертест_дистрибутивов#.D0.A1.D0.

"Fedora – единственный поставщик, у которого есть оправдание медленной реакции, поскольку при исправлении этой проблемы команда распознала другую, которую упустили все остальные, и другим поставщикам позже пришлось выпускать заплатку для CVE-2006-3467."

1.2, макс (??), 13:24, 03/06/2010 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
вот это я понимаю сделано на долго и с совестью

1.3, fi (ok), 13:46, 03/06/2010 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Вот это и есть поддержка, а ни как у МС.

2.6, Толстый_ (?), 16:05, 03/06/2010 [^] [^^] [^^^] [ответить]	–2 +/–
А ты хоть у кого нибудь из них поддержку покупал? или просто мелим языком

3.7, Vitaly_loki (ok), 16:35, 03/06/2010 [^] [^^] [^^^] [ответить]	+2 +/–
Ну я покупал и что, Толстый?

4.9, Толстый_ (?), 17:14, 03/06/2010 [^] [^^] [^^^] [ответить]	–4 +/–
вопрос вроде не тебе был адресован.

5.12, аноним (?), 17:38, 03/06/2010 [^] [^^] [^^^] [ответить]	+1 +/–
А какая разница? Если даже допустить что fi ее не покупал, менее деpьмовой она от этого не станет. Да, я покупал.

3.11, User294 (ok), 17:29, 03/06/2010 [^] [^^] [^^^] [ответить]	+1 +/–
>А ты хоть у кого нибудь из них поддержку покупал? или просто мелим языком Я видел как MSовская поддержка работает. Даже энтерпрайзных продуктов. Суть сводится к "ну вы там какнить вырулите сами, вы все-равно не сможем вам помочь в разумные сроки". Проблемы - видел. А вот чтобы МСовская поддержка с мало-мальски серьезными проблемами бы справилась - не видел.

4.13, аноним (?), 17:38, 03/06/2010 [^] [^^] [^^^] [ответить]	+/–
>Я видел как MSовская поддержка работает. Даже энтерпрайзных продуктов. Суть сводится к >"ну вы там какнить вырулите сами, вы все-равно не сможем вам >помочь в разумные сроки". Во-во. Причем если бы они это сразо говорили, так они это говорят когда уже вышли все разумные сроки.

5.15, User294 (ok), 20:21, 03/06/2010 [^] [^^] [^^^] [ответить]	+/–
>Во-во. Причем если бы они это сразо говорили, так они это говорят >когда уже вышли все разумные сроки. Они любят ИБД. Если сильно повезет (==знаете кого дергать или знакомые есть) - у вас даже какиенить там логи попросят, etc. Дальше правда процесс один хрен начинает буксовать, видимо индусской квалификации как-то не очень хватает на мало-мальски оперативную идентификацию проблемы и тем более ее фиксинг. В итоге - или проблема решается вами самими :D или не решается никак, по крайней мере в какие-то раумные и вменяемые сроки (порядка месяца, например). Глядя на редхатовцев есть большие сомнеия что они хотя-бы теоретически способны на такое же раздолбайски-пофигистичное отношение к клиентам.

4.20, Толстый (ok), 22:52, 03/06/2010 [^] [^^] [^^^] [ответить]	+/–
Это уже более внятный ответ. я ни у тех ни у других не покупал, поэтому и интересуюсь.

1.4, pejot_ (?), 14:18, 03/06/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
молодцы RH!

1.5, Аноним (-), 15:50, 03/06/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вывод - не ставь файерфокс/тандерберд на сервер и будет все ок.

2.8, Гошт (ok), 16:40, 03/06/2010 [^] [^^] [^^^] [ответить]	+/–
RHEL4 WS - не Work Station случаем? В инфрастуктуре предприятия не только сервер подвержен опасностям.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: