The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от opennews (ok) on 16-Мрт-17, 11:19 
Компания Red Hat опубликовала (https://access.redhat.com/blogs/766093/posts/2957221) отчёт (https://www.redhat.com/cms/managed-files/su-2016-security-ri...) с анализом рисков,  связанных оперативностью устранения уязвимостей, выявленных в продуктах Red Hat в течение 2016 года. За год в Red Hat Enterprise Linux было выявлено 50 критических уязвимостей. Примечательно, что обновления с устранением всех критических проблем были выпущены не позднее, чем на следующий день, после появления публичной информации об уязвимости.


При рассмотрении всех продуктов Red Hat, а не только RHEL, в тот же или на следующий день после появления информации об уязвимости было устранено 76% критических уязвимостей, а в течение недели - 98%. Всего службой безопасности Red Hat в 2016 году было изучено около 2600 уязвимостей, потенциально затрагивающих Linux-системы, что на 30% больше, чем в 2015 году. Продукты Red Hat оказались подвержены 1346 уязвимостям, наиболее опасные из которых, как правило, затрагивали web-браузеры или компоненты браузеров, т.е. в серверных системах число опасных проблем было незначительным.
О 394 (29%) уязвимостях службе безопасности Red Hat стало известно до появляения публичной информации об уязвимости.


Информация о 65.5% уязвимостей была получена из списков рассылки и через мониторинг объявлений об уязвимостях в upstream-проектах. Сведения о 12.8% уязвимостей были получены через уведомления, отправленные представителями upstream-проектов. 10.6% уязвимостей были выявлены сотрудниками Red Hat. Информация о 5.6% проблемах сообщена в приватной переписке с исследователями безопасности или клиентами, столкнувшимися с проблемой. О 3.6% уязвимостях стало известно от представителей других дистрибутивов, через закрытый форум (http://oss-security.openwall.org/wiki/mailing-lists/distros). 1.9% уязвимостей всплыло при изучении новых идентификаторов CVE.

URL: https://access.redhat.com/blogs/766093/posts/2957221
Новость: http://www.opennet.me/opennews/art.shtml?num=46200

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +19 +/
Сообщение от opan (ok) on 16-Мрт-17, 11:19 
Работают люди.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +9 +/
Сообщение от Аноним (??) on 16-Мрт-17, 11:20 
Интересно было бы увидеть аналогичную статистику по отечественным дистрибутивам: росе, альту, астре.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +19 +/
Сообщение от Sluggard (ok) on 16-Мрт-17, 11:25 
Интересно было бы увидеть нечто подобное от Microsoft. С пруфами. =))
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Аноним (??) on 16-Мрт-17, 12:32 
В среднем от двух недель до двух месяцев. Уже было два крупных скандала на эту тему (Google’s Project Zero).
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Sw00p aka Jerom on 16-Мрт-17, 15:33 
Мелкомягкие скоро редхат купят ))
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Гостище on 16-Мрт-17, 16:09 
Чтоб сделать AzureHat и доказать всему миру, что линукс ненадёжен, так как по всему миру много-много линуксов в винде, которая сама не падает, а линукс в ней плохо пашет.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Sluggard (ok) on 16-Мрт-17, 18:06 
Кто-то собрался продавать им акции? )
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Аноним (??) on 16-Мрт-17, 19:04 
> Мелкомягкие скоро редхат купят ))

Скорее каноникл, он должен быть сильно дешевле (по причине убыточности).

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

49. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Sw00p aka Jerom on 18-Мрт-17, 12:55 
шапка перспективней
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

3. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  –2 +/
Сообщение от Гослинуксятор on 16-Мрт-17, 11:25 
GosLinux основан на centos, который основан на red-hat, значит всё тоже очень хорошо?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  –2 +/
Сообщение от allnix (ok) on 16-Мрт-17, 11:44 
Для АНБ?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +9 +/
Сообщение от ann (??) on 16-Мрт-17, 11:45 
Не думаю что они каждую неделю получают новый сертификат от ФСБ - дорого же.
Так что любой гослинукс рищито (оказывается ругательство), зато с сертификатом о безопасности.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от tensor on 16-Мрт-17, 12:45 
Абсолютно верно. Плюс, при каждом обновлении нужно собирать софт для токенов и випнетов. Сильно сомневаюсь, что Редсофт это делает на регулярной основе.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

27. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  –1 +/
Сообщение от Аноним (??) on 16-Мрт-17, 19:07 
> Так что любой гослинукс рищито (оказывается ругательство), зато с сертификатом о безопасности.

В этом суть ИБ, причём не только в этой стране, но и в мире.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +1 +/
Сообщение от adolfus (ok) on 16-Мрт-17, 12:03 
> Примечательно, что обновления с устранением всех критических проблем были
> выпущены не позднее, чем на следующий день, после появления публичной
> информации об уязвимости.

Неудивительно -- IBM, который щедро потребляет продукт RH, в свое время выпускал фикспаки на полуось и компоненты на второй-третий день после обращения в поддержку. Надо полагать, что их клиенты стали более требовательны -- два-три дня их уже не устраивает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  –6 +/
Сообщение от via (??) on 16-Мрт-17, 12:03 
PR.   Каноники тоже оперативно выпускают патчи
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Аноним (??) on 16-Мрт-17, 19:03 
> Каноники

Их главный по безопасности админил kernel.org на момент эпического взлома. Это уже многое говорит)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  –4 +/
Сообщение от Аноним (??) on 16-Мрт-17, 12:31 
Надо пользоваться только тем срезом, который проверен ФСТЭК. Там все хорошо)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от amonymous on 16-Мрт-17, 12:33 
Да, там уязвимостей нет. Просто потому, что всем пофиг, и их никто не документирует.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Аноним (??) on 16-Мрт-17, 16:45 
CentOS сильно отстает?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  –1 +/
Сообщение от Led (ok) on 16-Мрт-17, 21:17 
> CentOS сильно отстает?

На час-два.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

42. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от freehck email(ok) on 17-Мрт-17, 00:14 
Обычно в течение суток апдейт доходит.
https://wiki.centos.org/FAQ/General#head-cea9337e6513cc1567c...
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  –1 +/
Сообщение от анонимус вульгарис on 16-Мрт-17, 18:49 
Забыли написать, сколько уязвимостей в шапке отказались фиксить, потому что посчитали их некритичными.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Stax (ok) on 16-Мрт-17, 19:25 
Так поделитесь информацией. Такие случаи действительно были, с соответствующими пояснениями (напр. с nginx, когда selinux делал проблему неактуальной и вообще она была в nginx, который в EPEL, а не в базовом RHEL).
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

47. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от анонимус вульгарис on 17-Мрт-17, 15:19 
А почему Вы думаете, что у меня есть эта информация? Я тоже знаю, что прецеденты имеются, а сколько их — в этом очень подробном промо-отчёте почему-то не сказали. Кому это прям очень сильно интересно — могу дать ссылку: https://bugzilla.redhat.com/query.cgi
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

23. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Аноним (??) on 16-Мрт-17, 18:49 
А где тэг "Реклама" ? явно же списали с рекламного проспекта.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +1 +/
Сообщение от Stax (ok) on 16-Мрт-17, 19:26 
> А где тэг "Реклама" ? явно же списали с рекламного проспекта.

Реклама - это когда opennet получил деньги за нее )
Заплатите, и поставят тег "реклама". А пока, я так понимаю, ни редхат, ни кто еще за это не платил.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

31. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Аноним (??) on 16-Мрт-17, 19:45 
то есть можно постить откровенно маркетинговые материалы и это не будет считаться рекламой ?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

45. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  –1 +/
Сообщение от Аноним (??) on 17-Мрт-17, 02:38 
сколько дыр открытых нам готовит просвещенье
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от лютый жабист__ on 17-Мрт-17, 05:03 
У любых других дистрибов общая картина будет намного плачевнее по причине того что в RHEL убогий набор софта, прокси один, web-сервер один, браузер и DE одно итд.

Реально ставишь CentOS, потом EPEL и оттуда ещё гору дырявого софта, которая не попала в эту "статистику".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"  +/
Сообщение от Led (ok) on 17-Мрт-17, 23:19 
> ещё гору дырявого софта, которая не попала в эту "статистику".

Да, жабoбыдлoкoдeры гуманитарной ориентации всегда так делают.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру