The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ уязвимостей за последние четыре года в Red Hat Enterprise Linux 4

11.03.2009 12:37

Компания Red Hat опубликовала отчет с результатом анализа исправлений проблем безопасности, выпущенных за время существования дистрибутива Red Hat Enterprise Linux 4.

Всего во всех пакетах Red Hat Enterprise Linux 4 AS с 15 февраля 2005 года было выявлено 1269 уязвимостей, из них 639 затронули пакеты входящие в базовую поставку. При рассмотрении проблем по степени их опасности, в базовой поставке серверной редакции было обнаружено только 10 критических и 267 серьезных уязвимостей, в то время как в общей пакетной базе критических ошибок было 130, а серьезных 360. Наибольшее число уязвимостей пришлось на десктоп-приложения.

Список приложений, в которых зафиксировано больше всего критических уязвимостей:

  • Продукты Mozilla (Firefox, Mozilla, SeaMonkey, Thunderbird) - 102 критические ошибки, среднее время устранения 1.7 дня, 88% ошибок были исправлены в первый же день после поступления информации о проблеме.
  • Media Player Plugin (HelixPlayer) - 7 критических ошибок, среднее время устранения 1.4 дня, 85% ошибок были исправлены за один день;
  • Другие браузеры (Lynx, Links, KDE, QT) - 5 критических ошибок, среднее время устранения 1.2 дня, 80% ошибок были исправлены за один день;
  • Другое (Samba, Sendmail, OpenSSH, Gaim, evolution) - 16 критических ошибок, среднее время устранения 0.6 дня, 94% ошибок были исправлены за один день.

Что касается источников получения информации о наличии новых, публично не аннонсированных, уязвимостей, то в 22.5% случаев информация о проблемах поступила от разработчиков уязвимых программ, 19.6% - от партнеров/конкурентов (например, другие дистрибутивы), 5% уязвимостей было найдено силами Red Hat. Для публично анонсированных уязвимостей: 24.6% - из списков рассылки, 13.7 - от партнеров, 6.9% - из CVE анонсов. В 51% случаях сведения о проблемах поступили в Red Hat до публичного анонса уязвимости.

Для 59 уязвимостей присутствуют готовые эксплоиты, 40% из которых используют переполнение буфера и в большинстве случаев неработоспособны при использовании интегрированных в Enterprise Linux 4 механизмов защиты, препятствующих выполнению кода в стеке. Наиболее опасной угрозой для не обновленной системы Enterprise Linux 4, является возможность применения локальным пользователем эксплоита для получения root привилегий. Кроме того в сети удалось зафиксировать два червя, распространяющиеся через бреши в безопасности сторонних PHP приложений, не входящих в поставку Enterprise Linux 4.

Список из 10 самых опасных пакетов выглядит следующим образом:

  1. mozilla/seamonkey - 100/22 (критических/серьезных) уязвимостей;
  2. firefox - 94/31;
  3. thunderbird - 46/22;
  4. kernel - 0/115;
  5. HelixPlayer - 7/0;
  6. cups - 0/23;
  7. samba - 4/2;
  8. krb5 - 2/10;
  9. php - 0/14;
  10. evolution - 3/3.


  1. Главная ссылка к новости (http://magazine.redhat.com/200...)
  2. OpenNews: Red Hat назвала 10 самых опасных программ за последний год
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/20692-security
Ключевые слова: security, redhat, linux
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, demimurych (?), 14:55, 11/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    хм.
    как то не могу привыкнуть к тому, что в базовую поставку серверного дистрибутива входит firefox хеликс плеер и т.д.

     
     
  • 2.2, prapor (??), 15:18, 11/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    RHEL 4 далеко не "только серверный" дистрибутив. Workstation из него весьма неплох....
     
     
  • 3.11, o.k. (?), 00:17, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >RHEL 4 далеко не "только серверный" дистрибутив. Workstation из него весьма неплох....
    >

    RHEL, да еще и 4ый ... вместе с его пакетами-динозаврами???? На сервере это хорошо, но на десктопе ..... имхо линукс десктоп еще ооочень далек от идеала, и даже совсем небольшое отставание в версиях пакетов довольно сильно заметно ...

     
  • 2.3, ktc (?), 15:47, 11/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    анализировали не одну серверную редакцию, а всю линейку, в которой есть и десктопы.

    "There are four variants of Red Hat Enterprise Linux 4; two targeted at server solutions with Enterprise Linux AS and ES, and two targeted at client solutions with Enterprise Linux WS and Red Hat Desktop. The package set available in Enterprise Linux WS and Red Hat Desktop is a subset of that available in Enterprise Linux AS."

     
  • 2.10, o.k. (?), 00:15, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >хм.
    >как то не могу привыкнуть к тому, что в базовую поставку серверного
    >дистрибутива входит firefox хеликс плеер и т.д.

    а зачем Вы ставите на сервер десктоп окружение?

     
     
  • 3.17, Клыкастый (?), 10:16, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >а зачем Вы ставите на сервер десктоп окружение?

    Кстати, в датацентрах очень любят ставить RH с иксами.

     
     
  • 4.20, o.k. (?), 13:23, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    а толку от них... разве что елси локально на них смотреть ....  коннектятся они к ним по иксдиэмсипи вместо ссш? это ж неудобно .....
     
  • 3.18, Sw00p aka Jerom (?), 10:54, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    а я на домашний поставил RHEL5 Server
     

  • 1.4, Аноним (4), 16:10, 11/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    первые три нахф. реально дистр станет безопаснее:)
     
     
  • 2.5, Aleksey (??), 17:50, 11/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >первые три нахф. реально дистр станет безопаснее:)

    А если еще и четвертую, то безопасность возрастет до небес :)

     

  • 1.6, Ivan (??), 18:45, 11/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Список из 10 самых опасных пакетов выглядит следующим образом:
    > ...
    > 4. kernel
    > ...

    Самое правильно лекарство видимо таки гильотина :-)

     
     
  • 2.8, User294 (??), 23:51, 11/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >Самое правильно лекарство видимо таки гильотина :-)

    Надежно избавляет от головной боли любого сисадмина.Для тех кому это лекарство кажется слишком уж эффективным, есть вариант заняться вместо этого компьютером.Рецепт жутко прост и написан в каждом автобусе: "при аварии выдернуть шнур, выдавить стекло" ;)

     

  • 1.7, Аноним (7), 20:26, 11/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    "1.7 дня" - венде такое и не снилось... всё таки опен сорс даёт им всем жару
     
     
  • 2.9, User294 (??), 23:52, 11/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >"1.7 дня" - венде такое и не снилось... всё таки опен сорс
    >даёт им всем жару

    А виндузятники ждут апдейтов по месяцу кроме случаев особо-массовых поимений когда иногда MS изволит снизойти до смертных которых безшалостно имеют хацкеры...

     
     
  • 3.12, o.k. (?), 00:19, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >>"1.7 дня" - венде такое и не снилось... всё таки опен сорс
    >>даёт им всем жару
    >
    >А виндузятники ждут апдейтов по месяцу кроме случаев особо-массовых поимений когда иногда
    >MS изволит снизойти до смертных которых безшалостно имеют хацкеры...

    не переживайте.. у виндузятников, все хорошо. )

     
  • 3.13, JJ (??), 03:54, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >>А виндузятники ждут апдейтов по месяцу кроме случаев особо-массовых поимений когда иногда >>MS изволит снизойти до смертных которых безшалостно имеют хацкеры...

    В какие места вас особо изощренно поимели хакеры? Как совет перестать загружаться из-под вин98.
    Так и вижу красноглазое чудо, каждые 1.7 дня переобновляющего все свои пакеты. :)
    Тото мегазащищенный гиперобновляемый линукс которое десятилетие не может и близко к винде подобраться в десктопе.
    В опенсорсе оч. много качественных добротных проектов (Оо, фф и т.д.), линукс не в их числе.
    Но всегда найдутся идиоты которые будут думать иначе :)

     
     
  • 4.14, Аноним (14), 04:28, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    Фу, нарисовали какую-то бредятину... При чем тут красноглазие???
    Сидит себе в трее апдейтер и проверяет апдейты. Хоп, апдейт появился, нажать две кнопки мышкой и поставить все что надо - вам уже и это лень? О каком красноглазии при таком раскладе может идти речь??? Вы линукс то последний раз когда видели??? Во времена полной компиляции всего и вся?? Или вас знакомый гентушник напугал когда вы к нему утром пришли, а он там мир пересобирает? Однако вам уже вампиры мерещатся, завязывайте всякую бредятину с торрентов качать.
     
     
  • 5.15, JJ (??), 05:35, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >>Фу, нарисовали какую-то бредятину... При чем тут красноглазие???
    >>Сидит себе в трее апдейтер и проверяет апдейты. Хоп, апдейт появился, нажать две кнопки >>мышкой и поставить все что надо - вам уже и это лень? О каком красноглазии при таком >>раскладе может идти речь??? Вы линукс то последний раз когда видели??? Во времена полной >>компиляции всего и вся?? Или вас знакомый гентушник напугал когда вы к нему утром пришли, >>а он там мир пересобирает? Однако вам уже вампиры мерещатся, завязывайте всякую бредятину >>с торрентов качать.

    Вы, уважаемый, где в моем посте про перекомпиляцию узрели? Грибы свое берут? Речь шла об сексуальных извращениях проделанных группой хакеров над господином из топика выше.
    Отдышитесь и перечитайте все исчо раз :)

     
  • 4.16, Клыкастый (?), 10:14, 12/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    > В какие места вас особо изощренно поимели хакеры?

    Они имеют вас преимущественно в Интырнед Ыксплорер.

    > Так и вижу красноглазое чудо, каждые 1.7 дня переобновляющего все свои пакеты. :)

    А виндовсятнег со своим "ой, квип обновился!", "ой, опера новая" - это не красноглазое чудо? "Ой, у меня nod32 не обновлялся", "ой ключик истёк". Я честно тебе скажу, серфить в драном ослике по трипперным варезникам в поисках ключиков да халявных обновлений к ноду отнимало гораздо больше времени. Нужен софт - выбор вариантов софта, поиск ключика - поиск софта и ключика совпадающих версий... ээх... portinstall XXXX либо emerge ZZZZ - гораздо быстрее. И обновить тож не особо проблема: тем более что во фре portaudit: читай и обновляй выборочно... Не, я понимаю, обновление пакетов аданазначно красноглазие, а виндозное время на "ой-а-что-у-меня-флешка-не-открывается-ща-венду-переставлю" это полезно проведённое время.

    > Но всегда найдутся идиоты которые будут думать иначе :)

    А идиоты они всегда иначе думают. Я вот смотрю, твоё мнение с моим не совпадает, и понимаю: ты думаешь иначе. Вывод напрашивается сам собой, да? ;)

     
     
  • 5.22, remi (?), 20:27, 13/03/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    +1024!

    Виндузятники предпочитают не обновляться вообще. Если и обновляются, то редко и нерегулярно. Как правило, ради новых фич, редко ради устранения ошибок, и почти никогда ради устранения уязвимостей.
    Так и сидят годами, покрытые дырами с головы до ног, в своих ботнетах и рассылают спам и вирусы.

    А вообще это мы с троллем спорим, который совсем не в теме.

     

  • 1.19, Аноним (19), 12:03, 12/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Повторю избитую старую фразу. Windows must die.
    С 99г использую Linux. И каждый день убеждаюсь, что это единственный правильный выбор. Да и времена, когда нас насильно пичкали продуктами мелкософта, проходят.
    В Windows безопасность никогда не стаяла в высших приоритетах, а вот в Linux наоборот. Только вот это лично мое мнение.
     
  • 1.21, mazzay (?), 17:48, 12/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Linux Linux
    Такое ощущение, что вам софт вообще не нужен
    хватит и ядра.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру