Software::Distributionen::Red Hat
Sicherheitsbilanz von Red Hat Enterprise Linux 4
Mehr als fünf Jahre nach der Veröffentlichung hat Red Hat eine Zwischenbilanz der Sicherheitsrisiken gezogen, den die Benutzer in dieser Zeit ausgesetzt waren.
Der von dem Red-Hat-Mitarbeiter Mark Cox publizierte Bericht (PDF) liefert ausführliche Statistiken zu den geschlossenen Sicherheitslücken und möglichen Exploits. Er will laut Cox aufzeigen, dass Red Hat sehr schnell bei der Behebung der Sicherheitslücken war und die Kunden bei einem schnellen Anwenden der Updates nur einem minimalen Risiko ausgesetzt waren.
Red Hat Enterprise Linux 4 (RHEL 4) erschien im Februar 2005 und wird nach bisherigen Planungen sieben Jahre lang, also noch bis Februar 2012, unterstützt. Das System kam in vier Varianten auf den Markt: Die Server-Editionen AS und ES sowie Workstation und Desktop. In den ersten fünf Jahren wurden insgesamt 1545 Sicherheitslücken gezählt. Auf den ersten Blick ist das eine hohe Zahl, doch nach Auffassung von Red Hat sagt sie nichts aus, da unterschieden werden muss, wie schwerwiegend eine Lücke sei und wie viele Systeme betroffen waren. Systeme, die sämtliche betroffenen Pakete installiert haben, sind sehr unwahrscheinlich.
Bei den möglichen Auswirkungen einer Lücke unterscheidet Red Hat zwischen den Stufen »Critcal«, »Important«, »Moderate« und »Low«. Dabei werden alle Lücken als kritisch definiert, die von anderen Rechner aus oder durch bösartige Webseiten ausgenutzt werden können. Durch diese Definition fallen auch die meisten Browser-Probleme in diese Kategorie. Eine Desktop-Installation kommt daher auf insgesamt 183 Lücken bei 187 kritischen Lücken in der gesamten Distribution, während eine Standardinstallation von RHEL 4.0 AS auf 14 Lücken kommt. Die meisten Probleme auf den Desktop-Systemen wurden von den Mozilla-Produkten Firefox, SeaMonkey und Thunderbird verursacht.
Die meisten kritischen Lücken wurden von Red Hat binnen eines Kalendertages geschlossen, was die Zeit, in der die Benutzer einem Risiko ausgesetzt waren, sehr kurz hält. Jedoch können die Lücken bereits vor der Veröffentlichung bestimmten Kreisen bekannt gewesen sein. Oft werden Hersteller einige Wochen vorab benachrichtigt, um ihnen Zeit für die Vorbereitung der Korrektur zu geben. Laut der Statistik war das nur in 52% der Fälle der Fall, in 48% der Fälle wusste auch der Distributor nicht vorab, dass Arbeit auf ihn zukam.
Red Hat beziffert die Arbeit, die die Administratoren mit dem Einspielen von Updates hatten, auf etwa ein Paket pro fünf Tage, allerdings auch nur im Falle einer Maximalinstallation. Dass es nicht mehr waren, liegt daran, dass viele Paketupdates mehr als eine Sicherheitslücke schließen.
Das Papier untersucht weiter, welche Exploits für die Sicherheitslücken bekannt wurden, und findet insgesamt 76, von denen die meisten allerdings eine Interaktion mit dem Benutzer benötigen oder mit den Standardeinstellungen des Systems nicht funktionieren. Als größtes Risiko sieht Red Hat Server, die über SSH erreichbar sind und zu schwache Passwörter besitzen.
