Login
Login-Name Passwort


 
Newsletter
Werbung

Mi, 27. Februar 2008, 11:16

Software::Distributionen::Red Hat

Sicherheitsstatisktik zu Red Hat Enterprise Linux 4

Drei Jahre nach der Veröffentlichung von Red Hat Enterprise Linux 4 legt Mark Cox von Red Hat einen Bericht über Sicherheitsrisiken der Distribution vor.

Der Bericht betrachtet zunächst die bekanntgewordenen Sicherheitslücken. Allein in den letzten zwölf Monaten wurden 145 Sicherheitsupdates herausgegeben, die 302 Sicherheitslücken insgesamt behoben. Diese Zahl ist laut Cox ein schlechtes Maß für die tatsächlichen Risiken, denn sie sieht alle Lücken als gleich an. Zudem kann sie nur auf Systeme zutreffen, auf denen nahezu alle Pakete installiert sind, was unwahrscheinlich ist.

Red Hat bewertet die Risiken der Sicherheitslücken auf einer vierstufigen Skala: Low (niedrig), Moderate (moderat), Important (wichtig) und Critical (kritisch). Die Sicherheitslücken, von denen RHEL 4 betroffen war, summieren sich in drei Jahren auf 1019 in einer Maximalinstallation mit allen Paketen. Davon waren 87 kritisch, 303 wichtig, 388 moderat und 241 niedrig. In der Standardinstallation des RHEL-Servers und der Workstation liegen die Zahlen niedriger, aber nicht viel niedriger. Dabei sticht jedoch die Zahl von nur 7 kritischen Lücken im RHEL-Server heraus. Diese kommt dadurch zustande, dass die meisten kritischen Fehler in Programmen wie Mozilla, Firefox und Helixplayer auftraten, die nicht zur Standardinstallation des Servers zählen.

Über 80% der kritischen Fehler wurden innerhalb eines Tages nach Veröffentlichung der entsprechenden Sicherheitslücke repariert, also Updates zur Verfügung gestellt. 63% wurden sogar noch am gleichen Tag korrigiert. Im Durchschnitt waren die Anwender nur 2,0 Tage lang einem Risiko durch die Lücken ausgesetzt, bei Server-Software nur 0,9 Tage.

Im Gegensatz zu Anbietern proprietärer Software hat Red Hat in den meisten Fällen keinen Einfluss darauf, wann eine Sicherheitslücke publik gemacht wird. Nach Ansicht von Cox ist das gut so. Der Distributor ist dadurch gezwungen, schnell zu reagieren, und kann keine Spielchen mit dem Zurückhalten von Informationen treiben.

Interessanter als die Zahl der Sicherheitslücken ist laut Cox das Risiko, das sich unter anderem in der Zahl der kursierenden Exploits äußert. Demnach beobachtet Red Hat zahlreiche Quellen und hat daraus eine Statistik erstellt, die auch Exploits erfasst, die nur zur Erläuterung des Konzepts dienen und nicht direkt brauchbar sind. Denial-of-Service-Angriffe wurden ausgeklammert. Von den 49 erfassten Exploits bezogen sich 8 auf den Kernel, 16 auf Browser, 9 auf PHP, 6 auf Server-Software und 10 erforderten eine aktive Beteiligung eines arglosen Nutzers. Die Hälfte dieser Lücken, so Red Hat, nutzte Pufferüberläufe, deren Ausnutzung durch Exec-Shield nahezu unmöglich gemacht wird. Mit RHEL 4 wurde zudem SELinux standardmäßig aktiviert.

Die von Red Hat verwendeten Daten für die Statistik sind öffentlich zugänglich.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung