Анализ проблем безопасности и оценка времени поддержки Red Hat Enterprise Linux

8 сентября 2009 года

Опубликован отчет с анализом рисков, которым подвергаются пользователи необновленной версии RHEL 5.3. В отчете представлены обобщенные данные по уязвимостям, исправленным в промежутке между выходом релизов RHEL 5.3 и 5.4. За 7 месяцев было устранено 9 проблем, имеющих статус критических, семь из которых связаны с ошибками в Firefox и по одной проблеме в kdelibs (Архивная копия от 19 сентября 2015 на Wayback Machine) и библиотеке NSS (Архивная копия от 22 сентября 2015 на Wayback Machine). Благодаря использованию в дистрибутиве технологии ExecShield, защищенных вариантов malloc/free и активации FORTIFY_SOURCE опции glibc (дополнительная внутренняя проверка выхода за пределы буфера для функций, таких как strcpy), три проблемы ( dhclient, NTP и kerberos5) были защищены от выполнения кода злоумышленника и из разряда критических сведены к вызову отказа в обслуживании.

Тем не менее, для присвоения статуса критической уязвимости по рейтингу Red Hat, она обязательно должна быть подвержена удаленной атаке, т.е. не отнесены к разряду критических многочисленные локальные уязвимости, среди которых присутствуют три проблемы в Linux ядре, приводящие к повышению привилегий.

Всего для пакетов, поставляемых в базовой системе, за отчетный период было выпущено 51 уведомление о проблемах безопасности с информацией о 166 уязвимостях, из которых 8 критических, 18 важных и 25 средней и низкой степени опасности. Что касается всех пакетов, доступных через официальные репозитории, то выпущено 78 уведомлений (251 уязвимость), из которых 9 критических, 28 важных и 41 средней и низкой степени опасности.

В заключение, можно отметить публикацию (Архивная копия от 9 июля 2013 на Wayback Machine) в блоге Дага Вирса (Dag Wieers), активно участвующем в жизни проекта CentOS. Даг рассуждает, достаточно ли 7 лет поддержки (из которых 4 года добавляются новшества и еще год выходят обновления с поддержкой нового оборудования) для дистрибутивов линейки RHEL и предлагает для версий RHEL 5 и 6 увеличить время поддержки до 9 лет. В свете увеличения интервала между значительными релизами RHEL (между 3.x и 4.x - 1.5 года, между 4.x и 5.x - 2 года, между 5.x и 6.x - уже 3 года), при среднем четырехлетнем времени жизни оборудования, - семь лет выглядят недостаточно и поддержка может быть прекращена, когда пользователи еще не готовы к этому, а оборудование не успело морально устареть. Иными словами, новая ветка RHEL 6 выходит спустя три года с момента RHEL 5, еще примерно год переход будет невозможен в силу недостаточной поддержки новой ветки сторонними поставщиками, поэтому клиент будет вынужден установить RHEL 5 для которого остается всего 3-4 года полноценной поддержки, что недостаточно для покрытия времени устаревания оборудования.