Login
Newsletter
Werbung

Do, 5. Juni 2008, 08:12

Software::Distributionen::Red Hat

Sicherheitsstatistik zu Red Hat Enterprise Linux 5.1

Ein halbes Jahr nach der Veröffentlichung von Red Hat Enterprise Linux 5.1 zieht Mark Cox von Red Hat eine Bilanz der Sicherheitsrisiken dieser Version.

Der von Cox betrachtete Zeitraum reicht bis zur Veröffentlichung von Red Hat Enterprise Linux (RHEL) 5.2, das neben neuen Treibern und Features auch alle Updates von Red Hat Enterprise Linux 5.1 enthält. In diesem halben Jahr wurden 62 Sicherheitsupdates herausgegeben, die 179 Sicherheitslücken insgesamt behoben. Diese Zahl ist laut Cox ein schlechtes Maß für die tatsächlichen Risiken, denn sie sieht alle Lücken als gleich an. Zudem kann sie nur auf Systeme zutreffen, auf denen nahezu alle Pakete installiert sind, was unwahrscheinlich ist. In einer Minimalinstallation wäre etwa ein Drittel weniger Updates fällig gewesen.

Red Hat bewertet die Risiken der Sicherheitslücken auf einer vierstufigen Skala: Low (niedrig), Moderate (moderat), Important (wichtig) und Critical (kritisch). Die Sicherheitslücken, von denen RHEL 5.1 betroffen war, verteilen sich auf 9 kritische, 29 wichtige und 24 moderate oder niedrige.

Die kritischen Fehler verteilen sich auf fünf Pakete. Firefox war von vier Updates betroffen, Samba von zwei. Jeweils einen Fehler gab es in GnuTLS, MIT Kerberos und OpenPegasus, drei Paketen, die sicherheitskritische Funktionen im System übernehmen.

Alle kritischen Fehler wurden laut Cox innerhalb eines Tages nach Veröffentlichung der entsprechenden Sicherheitslücke repariert, indem Updates zur Verfügung gestellt wurden. Nur für einen der neun Fehler, ein Problem in Samba, ist Code bekannt, der tatsächlich zu einer Kompromittierung des Systems führen könnte.

Desweiteren berichtet Cox von einer als wichtig eingestuften Sicherheitslücke im Linux-Kernel, durch die ein lokaler Benutzer Root-Rechte erlangen konnte. Dieser Fehler wurde zwei Tage nach seinem Bekanntwerden korrigiert. RHEL 5.1 verwendet wie bereits RHEL 4 Techniken, die das Ausnutzen von Sicherheitslücken erschweren, darunter Exec-Shield und SELinux. Meistens bringt der Distributor dennoch Sicherheitsupdates heraus, denn SELinux kann abgeschaltet werden. In Einzelfällen konnte jedoch auf ein Update verzichtet werden.

Die von Red Hat verwendeten Daten für die Statistik sind öffentlich zugänglich.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung