Анализ рисков, связанных с проблемами безопасности в Red Hat Enterprise Linux 4

3 июня 2010 года

Компания Red Hat опубликовала отчет (PDF, 1.4 Мб) с анализом уязвимостей, исправленных в дистрибутиве Red Hat Enterprise Linux 4 за последние пять лет. В отчете поднимается больная тема - скрытое устранение уязвимостей в различных программах. По данным Red Hat для 52% из исправленных в RHEL 4 уязвимостей изначально информация не была публично обнародована разработчиками, в среднем данные по этим уязвимостям стали известны общественности только через 22 дня после того, как работники Red Hat уже имели информацию об их наличии.

Всего за 5 лет существования в базовой поставке разных сборок дистрибутива было найдено критических уязвимостей:

• Enterprise Linux 4 AS (установка по умолчанию) — 14
• Enterprise Linux 4 WS (установка по умолчанию) — 183
• Enterprise Linux 4 AS (все доступные пакеты) — 187

Распределение критических ошибок по группам пакетов:

• Продукты Mozilla (Firefox, Mozilla, SeaMonkey, Thunderbird) - 143 (среднее время выхода обновления - 1 день)
• Media Player Plugin (HelixPlayer) - 14 (среднее время выхода обновления - 21 день)
• Другие web-браузеры (Lynx, Links, KDE, QT) - 8 (обновления вышли в день обнаружения проблемы)
• Другое (Samba, Sendmail, Pidgin, kerberos, openssh, dhcp, ntp, evolution) - 22 (обновления вышли в день обнаружения проблемы)

Десять самых опасных приложений:

• firefox - 135 критических/32 опасных проблем;
• mozilla/seamonkey - 120/24
• thunderbird - 52/24
• kernel - 0/138
• HelixPlayer - 14/0
• cups - 0/32 11 5
• krb5 - 4/10
• kdelibs - 5/4
• kdegraphics - 0/29
• xpdf - 0/28

Некоторые выводы:

• 86% критических ошибок были исправлены не позднее чем через 1 день после публичного обнародования уязвимости;
• Для 76 уязвимостей в публичном доступе можно было найти готовый эксплоит, но для применения большинства из них требовалось изменение настроек по умолчанию или стимулирование пользователя к выполнению определенных действий. При этом удачное выполнение большого числа из данных эксплоитов блокировалось стандартными механизмами безопасности RHEL 4. 13 эксплоитов использовали ошибки в Linux-ядре, 22 - в web-браузерах, 8 - в PHP скриптах, 11 - в сетевых сервисах, остальные в пользовательских приложениях;
• Наиболее вероятным исходом эксплуатации неисправленной уязвимости является получения прав root локальным пользователем;
• За историю существования дистрибутива RHEL4 зафиксировано два самораспространяющихся червя, но они поражали систему только через сторонние web-приложения на языке PHP, не входящие в репозитории RHEL;
• При использовании пользователями словарных паролей было зафиксировано несколько успешных "Brute force" атак, при которых пароли были подобраны через SSH.