Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux

16.03.2017 10:58

Компания Red Hat опубликовала отчёт с анализом рисков, связанных оперативностью устранения уязвимостей, выявленных в продуктах Red Hat в течение 2016 года. За год в Red Hat Enterprise Linux было выявлено 50 критических уязвимостей. Примечательно, что обновления с устранением всех критических проблем были выпущены не позднее, чем на следующий день, после появления публичной информации об уязвимости.

При рассмотрении всех продуктов Red Hat, а не только RHEL, в тот же или на следующий день после появления информации об уязвимости было устранено 76% критических уязвимостей, а в течение недели - 98%. Всего службой безопасности Red Hat в 2016 году было изучено около 2600 уязвимостей, потенциально затрагивающих Linux-системы, что на 30% больше, чем в 2015 году. Продукты Red Hat оказались подвержены 1346 уязвимостям, наиболее опасные из которых, как правило, затрагивали web-браузеры или компоненты браузеров, т.е. в серверных системах число опасных проблем было незначительным. О 394 (29%) уязвимостях службе безопасности Red Hat стало известно до появляения публичной информации об уязвимости.

Информация о 65.5% уязвимостей была получена из списков рассылки и через мониторинг объявлений об уязвимостях в upstream-проектах. Сведения о 12.8% уязвимостей были получены через уведомления, отправленные представителями upstream-проектов. 10.6% уязвимостей были выявлены сотрудниками Red Hat. Информация о 5.6% проблемах сообщена в приватной переписке с исследователями безопасности или клиентами, столкнувшимися с проблемой. О 3.6% уязвимостях стало известно от представителей других дистрибутивов, через закрытый форум. 1.9% уязвимостей всплыло при изучении новых идентификаторов CVE.

исправить +23 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46200-redhat

Ключевые слова: redhat

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.1, opan (ok), 11:19, 16/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+19 +/–
Работают люди.

1.2, Аноним (-), 11:20, 16/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
Интересно было бы увидеть аналогичную статистику по отечественным дистрибутивам: росе, альту, астре.

2.4, Sluggard (ok), 11:25, 16/03/2017 [^] [^^] [^^^] [ответить]	+19 +/–
Интересно было бы увидеть нечто подобное от Microsoft. С пруфами. =))

3.12, Аноним (-), 12:32, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
В среднем от двух недель до двух месяцев. Уже было два крупных скандала на эту тему (Google’s Project Zero).

3.16, Sw00p aka Jerom (?), 15:33, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
Мелкомягкие скоро редхат купят ))

4.17, Гостище (?), 16:09, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
Чтоб сделать AzureHat и доказать всему миру, что линукс ненадёжен, так как по всему миру много-много линуксов в винде, которая сама не падает, а линукс в ней плохо пашет.

4.21, Sluggard (ok), 18:06, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
Кто-то собрался продавать им акции? )

4.25, Аноним (-), 19:04, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
> Мелкомягкие скоро редхат купят )) Скорее каноникл, он должен быть сильно дешевле (по причине убыточности).

5.49, Sw00p aka Jerom (?), 12:55, 18/03/2017 [^] [^^] [^^^] [ответить]	+/–
шапка перспективней

1.3, Гослинуксятор (?), 11:25, 16/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
GosLinux основан на centos, который основан на red-hat, значит всё тоже очень хорошо?

2.6, allnix (ok), 11:44, 16/03/2017 [^] [^^] [^^^] [ответить]	–2 +/–
Для АНБ?

2.7, ann (??), 11:45, 16/03/2017 [^] [^^] [^^^] [ответить]	+9 +/–
Не думаю что они каждую неделю получают новый сертификат от ФСБ - дорого же. Так что любой гослинукс рищито (оказывается ругательство), зато с сертификатом о безопасности.

3.14, tensor (?), 12:45, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
Абсолютно верно. Плюс, при каждом обновлении нужно собирать софт для токенов и випнетов. Сильно сомневаюсь, что Редсофт это делает на регулярной основе.

3.27, Аноним (-), 19:07, 16/03/2017 [^] [^^] [^^^] [ответить]	–1 +/–
> Так что любой гослинукс рищито (оказывается ругательство), зато с сертификатом о безопасности. В этом суть ИБ, причём не только в этой стране, но и в мире.

1.9, adolfus (ok), 12:03, 16/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> Примечательно, что обновления с устранением всех критических проблем были > выпущены не позднее, чем на следующий день, после появления публичной > информации об уязвимости. Неудивительно -- IBM, который щедро потребляет продукт RH, в свое время выпускал фикспаки на полуось и компоненты на второй-третий день после обращения в поддержку. Надо полагать, что их клиенты стали более требовательны -- два-три дня их уже не устраивает.

1.10, via (??), 12:03, 16/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
PR. Каноники тоже оперативно выпускают патчи

2.24, Аноним (-), 19:03, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
> Каноники Их главный по безопасности админил kernel.org на момент эпического взлома. Это уже многое говорит)

1.11, Аноним (-), 12:31, 16/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Надо пользоваться только тем срезом, который проверен ФСТЭК. Там все хорошо)

2.13, amonymous (?), 12:33, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
Да, там уязвимостей нет. Просто потому, что всем пофиг, и их никто не документирует.

1.18, Аноним (-), 16:45, 16/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
CentOS сильно отстает?

2.34, Led (ok), 21:17, 16/03/2017 [^] [^^] [^^^] [ответить]	–1 +/–
> CentOS сильно отстает? На час-два.

2.42, freehck (ok), 00:14, 17/03/2017 [^] [^^] [^^^] [ответить]	+/–
Обычно в течение суток апдейт доходит. https://wiki.centos.org/FAQ/General#head-cea9337e6513cc1567c4d05afbd693f1f7038

1.22, анонимус вульгарис (?), 18:49, 16/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Забыли написать, сколько уязвимостей в шапке отказались фиксить, потому что посчитали их некритичными.

2.28, Stax (ok), 19:25, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
Так поделитесь информацией. Такие случаи действительно были, с соответствующими пояснениями (напр. с nginx, когда selinux делал проблему неактуальной и вообще она была в nginx, который в EPEL, а не в базовом RHEL).

3.47, анонимус вульгарис (?), 15:19, 17/03/2017 [^] [^^] [^^^] [ответить]	+/–
А почему Вы думаете, что у меня есть эта информация? Я тоже знаю, что прецеденты имеются, а сколько их — в этом очень подробном промо-отчёте почему-то не сказали. Кому это прям очень сильно интересно — могу дать ссылку: https://bugzilla.redhat.com/query.cgi

1.23, Аноним (-), 18:49, 16/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А где тэг "Реклама" ? явно же списали с рекламного проспекта.

2.29, Stax (ok), 19:26, 16/03/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> А где тэг "Реклама" ? явно же списали с рекламного проспекта. Реклама - это когда opennet получил деньги за нее ) Заплатите, и поставят тег "реклама". А пока, я так понимаю, ни редхат, ни кто еще за это не платил.

3.31, Аноним (-), 19:45, 16/03/2017 [^] [^^] [^^^] [ответить]	+/–
то есть можно постить откровенно маркетинговые материалы и это не будет считаться рекламой ?

1.45, Аноним (-), 02:38, 17/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
сколько дыр открытых нам готовит просвещенье

1.46, лютый жабист__ (?), 05:03, 17/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
У любых других дистрибов общая картина будет намного плачевнее по причине того что в RHEL убогий набор софта, прокси один, web-сервер один, браузер и DE одно итд. Реально ставишь CentOS, потом EPEL и оттуда ещё гору дырявого софта, которая не попала в эту "статистику".

2.48, Led (ok), 23:19, 17/03/2017 [^] [^^] [^^^] [ответить]	+/–
> ещё гору дырявого софта, которая не попала в эту "статистику". Да, жабoбыдлoкoдeры гуманитарной ориентации всегда так делают.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: