Марк Кокс (Mark J. Cox), возглавляющий команду, занимающуюся решением проблем безопасности в продуктах Red Hat, представил отчет, в котором представлен анализ уязвимостей, исправленных за шесть лет существования дистрибутива Red Hat Enterprise Linux 4. В отчете анализируется степень риска при игнорировании обновлений с устранением проблем безопасности и оценка влияния отдельных уязвимостей на защищенность системы. Используемая в Red Hat политика полной открытости в области устранения уязвимостей, позволяет пользователям дистрибутива реально оценить имеющиеся риски. Отмечается, что в наборе пакетов, устанавливаемых по умолчанию в серверной редакции RHEL 4 AS, за всю историю было найдено 20 критических уязвимостей. При рассмотрении всех пакетов из репозитория RHEL 4 AS число критических уязвимостей составляет 252 (из них 227 - уязвимости в веб-браузерах). В устанавливаемом по умолчанию наборе пакетов в редакции дистрибутива для настольных систем RHEL 4 AS в сумме найдено 247 уязвимостей. Наиболее уязвимыми приложениями являются: Firefox (185 критических/34 опасных проблем); Mozilla/Seamonkey (148/26); Thunderbird (49/22); ядро Linux (0/154); HelixPlayer (25/0) ; Samba (6/2); cups (0/34); krb5 (4/11); kdegraphics (0/31); xpdf (0/30). 85% критических ошибок были исправлены не позднее чем через 1 день после публичного обнародования уязвимости. Наиболее вероятным исходом использования готовых эксплоитов для неисправленной уязвимости является получения прав root локальным пользователем. Наиболее опасным признан эксплоит позволяющий удаленно получить root-доступ через почтовый сервер Exim. За историю существования дистрибутива RHEL4 зафиксировано два самораспространяющихся червя, но они поражали систему только через сторонние веб-приложения на языке PHP, не входящие в репозитории RHEL. 48.5% уязвимостей были исправлены после того как информация по ним была опубликована публично. При этом, данные по наличию таких уязвимостей в 24.8% случаев были получены из специализированных списков рассылки, 12.8% - получено уведомление от других вендоров (производителей других дистрибутивов), 6.3% - через CVE-уведомления, 2.8% - присланы иные уведомления, и только 1.7% - найдены сотрудниками Red Hat.
Подробнее