Red Hat: Sicherheitsrisiken 2019 im Rückblick

Software::Distributionen::Red Hat

Red Hat: Sicherheitsrisiken 2019 im Rückblick

Der Linux-Distributor Red Hat hat eine Aufschlüsselung der im Jahr 2019 bekannt gewordenen und geschlossenen Sicherheitslücken in seinen Produkten gegeben.

Von Hans-Joachim Baader

Red Hat

Red Hat beschäftigt ein recht großes Sicherheitsteam, das bereits im Jahr 2001 gegründet wurde, und veröffentlicht jährlich einen Bericht über die Aktivitäten sowie die gefundenen Probleme in seinen Produkten. Die Sicherheitslücken werden nach ihren potentiellen Auswirkungen in die Klassen Low, Moderate, Important und Critical eingeteilt.

Kritische Lücken gab es in allen Versionen von Red Hat Enterprise Linux zusammen im letzten Jahr mehr als 2018. 27 Lücken mit CVE-Nummern führten zur Herausgabe von 40 Sicherheitsmeldungen (Red Hat Security Advisories, RHSAs) an die Benutzer. Die noch gepflegten Produkte Red Hat Enterprise Linux 6, 7 und 8 waren von 39 der 40 Lücken betroffen. Davon traten aber nur 8 bzw. 9 im Standard-Installationsumfang auf. Die betroffenen Pakete wurden zu 41% (im letzten Jahr: 38%) noch am selben Tag wie die Bekanntgabe der Lücke aktualisiert, oder am Tag darauf. 85% der kritischen Probleme wurden binnen einer Woche behoben. Insgesamt wurden die kritischen Lücken nicht so schnell behoben wie früher: Der Median lag bei 3 Tagen gegenüber 2,5 Tagen im letzten Jahr. Ein Grund dafür könnte die Rekordzahl von 340 CVE-Nummern mit »Important«-Einstufung sein, die zur Herausgabe von 566 RHSAs führte. Zu bedenken ist ferner, dass jede Korrektur in einer Unternehmensdistribution gründlich getestet werden muss, was seine Zeit braucht.

Insgesamt hatte das Sicherheitsteam 2019 über 1300 Sicherheitslücken zu bearbeiten, wofür 960 Sicherheitsmeldungen ausgegeben wurden. Diese Zahlen liegen gegenüber 2018 höher, bleiben aber unter denen von 2015 und 2016. Über 2700 potentielle Sicherheitslücken mussten untersucht werden, was etwas weniger war als 2018. Dennoch war 2019 ein ziemlich arbeitsintensives Jahr für das Team. Zum Glück zeigte sich bei vielen dieser Meldungen, dass sie für Red Hat-Kunden keine Bedeutung besitzen oder gar kein Problem darstellten. Der vollständige Bericht ist als PDF-Datei bei Red Hat kostenlos erhältlich. Er enthält zahlreiche Einzelheiten und Statistiken.

Um die Kunden vor Verwirrungen zu schützen, betreibt Red Hat ein Customer Security Awareness-Programm, das Kunden vor tatsächlichen Gefahren warnt und Panikmache durch die Medien entgegentritt. Einige der prominentesten Lücken des Jahres 2019 waren je ein Problem in runc, sudo und libvirt, die Intel-Prozessorlücken RIDL, Fallout und ZombieLoad, die TCP SACK-Panik, die neue Spectre-Variante SWAPGS, VHOST-NET Guest-to-Host Escape, zwei weitere Probleme in Intel-CPUs (Machine Check Error on Page Size Change und TSX Asynchronous Abort sowie Probleme im i915-Grafiktreiber. Diese waren jedoch zum Glück keine kritischen Lücken, sondern rangierten nur auf der Important-Stufe. Diese und einige weitere Lücken analysiert der Bericht als Beispiele für das Customer Security Awareness-Programm.