Login
Login-Name Passwort


 
Newsletter
Werbung

Mi, 21. Januar 2009, 17:11

Software::Distributionen::Red Hat

Sicherheitsstatistik zu Red Hat Enterprise Linux 5.2

Acht Monate nach der Veröffentlichung von Red Hat Enterprise Linux 5.2 zieht Mark Cox von Red Hat eine Bilanz der Sicherheitsrisiken dieser Version.

Der von Cox betrachtete Zeitraum reicht von der Veröffentlichung von Red Hat Enterprise Linux (RHEL) 5.2 bis zur Veröffentlichung des neuesten Updates Red Hat Enterprise Linux 5.3, das neben neuen Treibern und Features auch alle Updates von Red Hat Enterprise Linux 5.2 enthält. Eine ähnliche Statistik hatte Cox schon für frühere Versionen erstellt.

In den vergangenen acht Monaten wurden 61 Sicherheitsupdates herausgegeben, die 181 Sicherheitslücken insgesamt behoben. In einer Standardinstallation von RHEL 5.2 wären davon 45 Updates anzuwenden gewesen, die 127 Sicherheitslücken behoben, in einer Minimalinstallation noch weniger.

Red Hat bewertet die Risiken der Sicherheitslücken auf einer vierstufigen Skala: Low (niedrig), Moderate (moderat), Important (wichtig) und Critical (kritisch). Die Sicherheitslücken, von denen RHEL 5.2 betroffen war, verteilen sich auf 7 kritische, 28 wichtige und 26 moderate oder niedrige. Die gesamte Zahl der Updates ohne Einbeziehung der Wichtigkeitsskala hat wenig Aussagekraft.

Die kritischen Fehler verteilen sich auf drei Pakete. Firefox war von fünf Updates betroffen, Samba von einem, und ein Update betraf OpenSSH im Zusammenhang mit dem Servereinbruch im August. Ein Update von Bind, das allerdings keine kritische Priorität besaß, wurde vorgenommen, um DNS-Spoofing-Angriffen vorzubeugen. Alle kritischen Fehler wurden laut Cox innerhalb eines Tages nach Veröffentlichung der entsprechenden Sicherheitslücke repariert, indem Updates zur Verfügung gestellt wurden.

RHEL 5.2 verwendet Techniken, die das Ausnutzen von Sicherheitslücken erschweren, darunter Exec-Shield und SELinux. In zwei Fällen war es dadurch möglich, auf Sicherheitsupdates zu verzichten, weil die entsprechenden Pakete nicht verwundbar waren. Die von Red Hat verwendeten Daten für die Statistik sind öffentlich zugänglich.

Werbung
Kommentare (Insgesamt: 27 || Alle anzeigen || Kommentieren )
Re[9]: Der letzte Absatz (Flying Circus, Fr, 23. Januar 2009)
Re[8]: Der letzte Absatz (Der die Wahrheit gelassen auss, Do, 22. Januar 2009)
Re[8]: Der letzte Absatz (Der die Wahrheit gelassen auss, Do, 22. Januar 2009)
Re[8]: Der letzte Absatz (Der die Wahrheit gelassen auss, Do, 22. Januar 2009)
Re[7]: Der letzte Absatz (Lord, Do, 22. Januar 2009)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung