Анализ проблем безопасности и оценка времени поддержки Red Hat Enterprise Linux

8 сентября 2009 года

<dynamicpagelist>

category = Опубликовано category = Компьютерные технологии notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

Опубликован отчет с анализом рисков, которым подвергаются пользователи необновленной версии RHEL 5.3. В отчете представлены обобщенные данные по уязвимостям, исправленным в промежутке между выходом релизов RHEL 5.3 и 5.4. За 7 месяцев было устранено 9 проблем, имеющих статус критических, семь из которых связаны с ошибками в Firefox и по одной проблеме в kdelibs и библиотеке NSS. Благодаря использованию в дистрибутиве технологии ExecShield, защищенных вариантов malloc/free и активации FORTIFY_SOURCE опции glibc (дополнительная внутренняя проверка выхода за пределы буфера для функций, таких как strcpy), три проблемы ( dhclient, NTP и kerberos5) были защищены от выполнения кода злоумышленника и из разряда критических сведены к вызову отказа в обслуживании.

Тем не менее, для присвоения статуса критической уязвимости по рейтингу Red Hat, она обязательно должна быть подвержена удаленной атаке, т.е. не отнесены к разряду критических многочисленные локальные уязвимости, среди которых присутствуют три проблемы в Linux ядре, приводящие к повышению привилегий.

Всего для пакетов, поставляемых в базовой системе, за отчетный период было выпущено 51 уведомление о проблемах безопасности с информацией о 166 уязвимостях, из которых 8 критических, 18 важных и 25 средней и низкой степени опасности. Что касается всех пакетов, доступных через официальные репозитории, то выпущено 78 уведомлений (251 уязвимость), из которых 9 критических, 28 важных и 41 средней и низкой степени опасности.

В заключение, можно отметить публикацию в блоге Дага Вирса (Dag Wieers), активно участвующем в жизни проекта CentOS. Даг рассуждает, достаточно ли 7 лет поддержки (из которых 4 года добавляются новшества и еще год выходят обновления с поддержкой нового оборудования) для дистрибутивов линейки RHEL и предлагает для версий RHEL 5 и 6 увеличить время поддержки до 9 лет. В свете увеличения интервала между значительными релизами RHEL (между 3.x и 4.x - 1.5 года, между 4.x и 5.x - 2 года, между 5.x и 6.x - уже 3 года), при среднем четырехлетнем времени жизни оборудования, - семь лет выглядят недостаточно и поддержка может быть прекращена, когда пользователи еще не готовы к этому, а оборудование не успело морально устареть. Иными словами, новая ветка RHEL 6 выходит спустя три года с момента RHEL 5, еще примерно год переход будет невозможен в силу недостаточной поддержки новой ветки сторонними поставщиками, поэтому клиент будет вынужден установить RHEL 5 для которого остается всего 3-4 года полноценной поддержки, что недостаточно для покрытия времени устаревания оборудования.

 

ИсточникиПравить

Эта статья содержит материалы из статьи «Анализ проблем безопасности и оценка времени поддержки Red Hat Enterprise Linux», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Анализ проблем безопасности и оценка времени поддержки Red Hat Enterprise Linux