Login
Login-Name Passwort


 
Newsletter
Werbung

Di, 21. März 2017, 15:26

Software::Distributionen::Red Hat

Red Hat: Sicherheitsrisiken 2016 im Rückblick

Der Linux-Distributor Red Hat hat eine Aufschlüsselung der im Jahr 2016 bekannt gewordenen und geschlossenen Sicherheitslücken in seinen Produkten gegeben.

Red Hat

Red Hat beschäftigt ein recht großes Sicherheitsteam und veröffentlicht jährlich einen Bericht über die Aktivitäten sowie die gefundenen Probleme in seinen Produkten. Die Sicherheitslücken werden nach ihren potentiellen Auswirkungen in die Klassen Low, Moderate, High und Critical eingeteilt. Dabei sind es oft nicht die Lücken, die mit eigenen Namen um Aufmerksamkeit buhlen, die das größte Risiko darstellen. Die meisten kritischen Lücken bleiben namenlos und betreffen einige wenige Desktopanwendungen, vor allem die Webbrowser.

Solche kritischen Lücken gab es in allen Versionen von Red Hat Enterprise Linux zusammen im letzten Jahr 50, verteilt auf 38 Sicherheitsmeldungen. Die betroffenen Pakete wurden sämtlich noch am selben Tag wie die Bekanntgabe der Lücke aktualisiert, oder am Tag darauf. In anderen Red Hat-Produkten wurden die Lücken nicht ganz so schnell behoben. Hier hatten 76% der Pakete ein Update am selben oder folgenden Tag, während nach einer Woche die Marke von 98% erreicht war.

Insgesamt hatte das Sicherheitsteam 2016 über 1300 Sicherheitslücken zu bearbeiten, wofür 600 Sicherheitsmeldungen ausgegeben wurden. Insgesamt wurden über 2600 potentielle Sicherheitslücken untersucht, annähernd 600 mehr als 2015, doch zeigte sich bei etwa der Hälfte dieser Lücken, dass sie für Red Hat-Kunden keine Bedeutung besitzen.

Red Hat begrüßt es, wenn eine Sicherheitslücke vor der Veröffentlichung den Entwicklern und Distributoren mitgeteilt wird. und befürwortet auch vergleichsweise kurze Zeitspannen zwischen Mitteilung und Veröffentlichung. Dieses sogenannte Embargo solle möglichst kurz sein, um die Lücke für potentielle Angreifer wenig wertvoll zu machen. Nach eigenen Angaben kam Red Hat aber 2016 nur in 29% der Fälle in den Genuss eines Embargos, in allen anderen Fällen wurde der Hersteller von der Veröffentlichung überrascht und konnte nur noch reagieren. 65,5 Prozent aller Sicherheitslücken lernte das Red Hat-Team auf Mailinglisten im Internet kennen, 12,8 Prozent wurden über persönliche Beziehungen zu Sicherheitsforschern in Erfahrung gebracht und 10,6 Prozent wurden von Entwicklern bei Red Hat intern gemeldet. Kaum eine Rolle spielten andere Quellen, am wenigsten CVE. Der vollständige Bericht ist als PDF-Datei bei Red Hat kostenlos erhältlich.

Werbung
Kommentare (Insgesamt: 1 || Alle anzeigen || Kommentieren )
Systemd (j, Di, 21. März 2017)
Pro-Linux
Traut euch!
Neue Nachrichten
Werbung