Login
Newsletter
Werbung

Fr, 1. März 2019, 13:31

Software::Distributionen::Red Hat

Red Hat: Sicherheitsrisiken 2018 im Rückblick

Der Linux-Distributor Red Hat hat eine Aufschlüsselung der im Jahr 2018 bekannt gewordenen und geschlossenen Sicherheitslücken in seinen Produkten gegeben.

Red Hat

Red Hat beschäftigt ein recht großes Sicherheitsteam und veröffentlicht jährlich einen Bericht über die Aktivitäten sowie die gefundenen Probleme in seinen Produkten. Die Sicherheitslücken werden nach ihren potentiellen Auswirkungen in die Klassen Low, Moderate, Important und Critical eingeteilt.

Solche kritischen Lücken gab es in allen Versionen von Red Hat Enterprise Linux zusammen im letzten Jahr 22, verteilt auf 29 Sicherheitsmeldungen. Das noch aktuelle Red Hat Enterprise Linux 7 war von 21 der 22 Lücken betroffen. Nimmt man die Pakete des Extra-Repositoriums hinzu, werden 48 Lücken erreicht. Die betroffenen Pakete wurden zu 38% noch am selben Tag wie die Bekanntgabe der Lücke aktualisiert, oder am Tag darauf. Insgesamt wurden die kritischen Lücken nicht so schnell behoben wie früher: Der Median lag bei 2,5 Tagen, die längste Zeit betrug 18 Tage.

Insgesamt hatte das Sicherheitsteam 2018 über 1270 Sicherheitslücken zu bearbeiten, wofür 745 Sicherheitsmeldungen ausgegeben wurden. Diese Zahl liegt gegenüber 2017 höher, bleibt aber unter denen von 2015 und 2016. Über 3774 potentielle Sicherheitslücken mussten untersucht werden, annähernd doppelt so viele wie 2015, doch zeigte sich bei vielen dieser Lücken, dass sie für Red Hat-Kunden keine Bedeutung besitzen.

Namen und Logos sagen nichts über die tatsächliche Bedeutung einer Sicherheitslücke aus. Um die Kunden vor Verwirrungen zu schützen, betreibt Red Hat ein Customer Security Awareness-Programm, das Kunden vor tatsächlichen Gefahren warnt und Panikmache durch die Medien entgegentritt. Viel Arbeit verursachten die Prozessorfehler Spectre und Meltdown, diese waren jedoch zum Glück keine kritischen Lücken, sondern rangierten nur auf der Important-Stufe. Diese und einige weitere Lücken analysiert der Bericht als Beispiele für das Customer Security Awareness-Programm.

Der vollständige Bericht ist als PDF-Datei bei Red Hat kostenlos erhältlich.

Werbung
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung