Login
Newsletter
Werbung

Do, 18. August 2011, 11:10

Software::Distributionen::Red Hat

Nach sechs Jahren: Sicherheitsbilanz von Red Hat Enterprise Linux 4

Sechs Jahre nach der Veröffentlichung von Red Hat Enterprise Linux 4 hat der Distributor eine erneute Zwischenbilanz der Sicherheitsrisiken gezogen, den die Benutzer in dieser Zeit ausgesetzt waren.

Der von dem Red-Hat-Mitarbeiter Mark Cox publizierte Bericht (PDF) liefert ausführliche Statistiken zu den geschlossenen Sicherheitslücken und möglichen Exploits. Er will laut Cox aufzeigen, dass Red Hat sehr schnell bei der Behebung der Sicherheitslücken war und die Kunden bei einem schnellen Anwenden der Updates nur einem minimalen Risiko ausgesetzt waren. Cox betont außerdem, dass Red Hat im Gegensatz zu Herstellern wie Microsoft oder Adobe keine Lücken verschweige. Probleme, die intern gefunden werden, werden nicht stillschweigend behoben, sondern publiziert und erhalten eine CVE-Nummer.

Red Hat Enterprise Linux 4 (RHEL 4) erschien im Februar 2005 und wird nach bisherigen Planungen sieben Jahre lang, also noch bis Februar 2012, unterstützt. Das System kam in vier Varianten auf den Markt: Die Server-Editionen AS und ES sowie Workstation und Desktop. In den ersten fünf Jahren wurden insgesamt 1788 Sicherheitslücken gezählt. Auf den ersten Blick ist das eine hohe Zahl, doch nach Auffassung von Red Hat sagt sie nichts aus, da unterschieden werden muss, wie schwerwiegend eine Lücke ist und wie viele Systeme betroffen waren. Systeme, die sämtliche betroffenen Pakete installiert haben, sind sehr unwahrscheinlich.

Bei den möglichen Auswirkungen einer Lücke unterscheidet Red Hat zwischen den Stufen »Critical«, »Important«, »Moderate« und »Low«. Dabei werden alle Lücken als kritisch definiert, die von anderen Rechner aus oder durch bösartige Webseiten ausgenutzt werden können. Durch diese Definition fallen auch die meisten Browser-Probleme in diese Kategorie. Eine Desktop-Installation kommt daher auf insgesamt 247 Lücken. Die gesamte Distribution weist nur fünf mehr auf, während eine Standardinstallation von RHEL 4.0 AS auf 20 Lücken kommt. Die meisten Probleme auf den Desktop-Systemen wurden von den Mozilla-Produkten Firefox, SeaMonkey und Thunderbird verursacht, die in der Standardinstallation nicht enthalten sind. Ab dem ersten Update von RHEL 4 wurde jedoch der Webbrowser Konqueror in die Standardinstallation aufgenommen, der eine Reihe von eigenen Problemen mitbrachte. Auch der Kernel enthielt zahlreiche Lücken, jedoch keine kritische.

Die meisten kritischen Lücken wurden von Red Hat binnen eines Kalendertags geschlossen, was die Zeit, in der die Benutzer einem Risiko ausgesetzt waren, sehr kurz hält. Jedoch können die Lücken bereits vor der Veröffentlichung bestimmten Kreisen bekannt gewesen sein. Oft werden Hersteller einige Wochen vorab benachrichtigt, um ihnen Zeit für die Vorbereitung der Korrektur zu geben. Laut der Statistik war das nur in 51,5% der Fälle der Fall, und dann teilweise weniger als eine Woche vorher. In 48,5% der Fälle wusste auch der Distributor nicht vorab, dass Arbeit auf ihn zukam. Im Durchschnitt wurden die Lücken innerhalb von 23 Tagen behoben, der Median lag aber bei deutlich niedrigeren 10 Tagen.

Das Papier untersucht weiter, welche Exploits für die Sicherheitslücken bekannt wurden, und findet insgesamt 80, von denen die meisten allerdings eine Interaktion mit dem Benutzer benötigen oder mit den Standardeinstellungen des Systems nicht funktionieren. Als größtes Risiko sieht Red Hat Server, die über SSH erreichbar sind und zu schwache Passwörter besitzen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung