Анализ рисков, связанных с проблемами безопасности в Red Hat Enterprise Linux 403.06.2010 11:39

Компания Red Hat опубликовала отчет (PDF, 1.4 Мб) с анализом уязвимостей, исправленных в дистрибутиве Red Hat Enterprise Linux 4 за последние пять лет. В отчете поднимается больная тема - скрытое устранение уязвимостей. По данным Red Hat для 52% из исправленных в RHEL 4 уязвимостей изначально информация не была публично обнародована разработчиками и всплыла только после того как на эти проблемы обратила внимание компания Red Hat. При этом среднее время обнародования утаенной уязвимости составило 22 дня.

Всего за 5 лет существования в базовой поставке разных сборок дистрибутива было найдено критических уязвимостей:

  • Enterprise Linux 4 AS (установка по умолчанию) — 14
  • Enterprise Linux 4 WS (установка по умолчанию) — 183
  • Enterprise Linux 4 AS (все доступные пакеты) — 187

Распределение критических ошибок по группам пакетов:

  • Продукты Mozilla (Firefox, Mozilla, SeaMonkey, Thunderbird) - 143 (среднее время выхода обновления - 1 день)
  • Media Player Plugin (HelixPlayer) - 14 (среднее время выхода обновления - 21 день)
  • Другие web-браузеры (Lynx, Links, KDE, QT) - 8 (обновления вышли в день обнаружения проблемы)
  • Другое (Samba, Sendmail, Pidgin, kerberos, openssh, dhcp, ntp, evolution) - 22 (обновления вышли в день обнаружения проблемы)

Десять самых опасных приложений:

  1. firefox - 135 критических/32 опасных проблем;
  2. mozilla/seamonkey - 120/24
  3. thunderbird - 52/24
  4. kernel - 0/138
  5. HelixPlayer - 14/0
  6. cups - 0/32 11 5
  7. krb5 - 4/10
  8. kdelibs - 5/4
  9. kdegraphics - 0/29
  10. xpdf - 0/28

Некоторые выводы:

  • 86% критических ошибок было исправлено не позднее чем через 1 день после публичного обнародования уязвимости;
  • Для 76 уязвимостей в публичном доступе можно было найти готовый эксплоит, но для применения большинства из них требовалось изменение настроек по умолчанию или стимулирование пользователя к выполнению определенных действий. При этом удачное выполнение большого числа из данных эксплоитов блокировалось стандартными механизмами безопасности RHEL 4. 13 эксплоитов использовали ошибки в Linux-ядре, 22 - в web-браузерах, 8 - в PHP скриптах, 11 - в сетевых сервисах, остальные в пользовательских приложениях;
  • Наиболее вероятным исходом эксплуатации неисправленной уязвимости является получения прав root локальным пользователем;
  • За историю существования дистрибутива RHEL4 зафиксировано два самораспространяющихся червя, но они поражали систему только через сторонние web-приложения на языке PHP, не входящие в репозитории RHEL;
  • При использовании пользователями словарных паролей было зафиксировано несколько успешных "Brute force"-атак, при которых пароли были подобраны через SSH.

©  OpenNet