19 апреля 2007

Статистика по уязвимостям в RHEL 4 за два года

Вчера Марк Кокс (Director of the Red Hat Security Response Team) опубликовал в Red Hat Magazine статью, посвященную обнаруженным уязвимостям за два года, прошедших с выпуска Red Hat Enterprise Linux. Некоторые выдержки из статьи.

За два года во всех пакетах RHEL 4 AS было 5 критических уязвимостей, не связанных с браузером. Из них три связаны с IM. Оставшиеся две – это sendmail и модуль “Апача” mod_auth_pgsql. Обе уязвимости были устранены в течение одного дня. Если выбиралась установка пакетов “по умолчанию”, общее число критических уязвимостей за два года – три штуки. По всем уязвимостям со всеми уровнями критичности процент выпуска “заплатки” в течение дня обнаружения уязвимости – 75%. Сто процентов всех критических уязвимостей устранялось в течении двух календарных дней с момента появления информации об этих уязвимостях в открытых источниках.

7 комментариев:

Анонимный комментирует...

Что-то это ни разу не сходится с данными Secunia: http://secunia.com/product/4669/.

На порядки не сходится.

Andrey Markelov комментирует...

Не сходится хотя и на порядки.
1) Affected By 275 Secunia advisories

2) Enterprise Linux 4 AS, default install Total - 362

362 и 275 получается Secunia занизили число?

Анонимный комментирует...

По поводу secunia и linux ситуация вообще очень интересно выглядит. Цифры там именно для линукс сильно занижены. См. http://blogs.csoonline.com/windows_vista_90_day_vulnerability_report, в комментариях.

Вот цитата: "Basically, Secunia doesn't try to track disclosed issues for the Linux distros at all. I've engaged with them on this and spoken with the CTO and they have some practical reasons for this - say I disclose a vuln in Linux kernel 2.6, which is the basis for many different distros. Can you tell if the vuln applies to all of those distros or not? Red Hat customizes their kernel, for example - they many not load that component or may have already fixed the issue. Multiply that times 250 distros and individual validation is just too hard for Secunia to do.
Result - they simply post advisories after the vendor has acknowledged an issue with a patch."

Это и объясняет почему для линукса почти нет незапатченых дырок в отчете. А дырки, очевидно, есть.

Kirill комментирует...

Вопросы безопасности - тема довольно скользкая. Главное помнить чтО мы защищаем и применять адекватные усилия по обеспечению безопасности. А по поводу "Линукс/Виндоус, кто безопаснее" (ведь все понимают что камни летают в основном именно между этими огородами) можно спорить долго. Наверное, главное в безопасности - это выбор правильной стратегии по ее обеспечению, а затем грамотная реализация этой стратегии. А уж на каких инструментах это будет работать не так важно, ведь если ОС настраивает неграмотный администратор (инженер по безопасности), то уже неважно чем он пользуется - Виндой или Линуксом.

Andrey Markelov комментирует...

Linux - это ядро. Сравнивать (например с теми же продуктами MS) нужно конкретный дистрибутив... Но собственно в посте никакого сравнения не было. Сухая статистика :)

Анонимный комментирует...

Дык в том-то и дело, что эта сухая статистика как раз была из разряда "есть ложь, есть большая ложь и есть статистика", т.к. заявленные цифры в разы меньше тех, которые есть на секунии, а на секунии цифры меньше реальных.

Andrey Markelov комментирует...

Заявленные цифры (общее число уязвимостей) БОЛЬШЕ тех что на secunia. Хоть и не на порядки.
Но кажеться кто-то из анонимусов уже написал что secunia доверять не стоит.