Анализ уязвимостей за последние четыре года в Red Hat Enterprise Linux 4

11 марта 2009 года

Компания Red Hat опубликовала отчет с результатом анализа исправлений проблем безопасности, выпущенных за время существования дистрибутива Red Hat Enterprise Linux 4.

Всего во всех пакетах Red Hat Enterprise Linux 4 AS с 15 февраля 2005 года было выявлено 1269 уязвимостей, из них 639 затронули пакеты входящие в базовую поставку. При рассмотрении проблем по степени их опасности, в базовой поставке серверной редакции было обнаружено только 10 критических и 267 серьезных уязвимостей, в то время как в общей пакетной базе критических ошибок было 130, а серьезных 360. Наибольшее число уязвимостей пришлось на десктоп-приложения.

Список приложений, в которых зафиксировано больше всего критических уязвимостей:

• Продукты Mozilla (Firefox, Mozilla, SeaMonkey, Thunderbird) - 102 критические ошибки, среднее время устранения 1.7 дня, 88% ошибок были исправлены в первый же день после поступления информации о проблеме.
• Media Player Plugin (HelixPlayer) - 7 критических ошибок, среднее время устранения 1.4 дня, 85% ошибок были исправлены за один день;
• Другие браузеры (Lynx, Links, KDE, QT) - 5 критических ошибок, среднее время устранения 1.2 дня, 80% ошибок были исправлены за один день;
• Другое (Samba, Sendmail, OpenSSH, Gaim, evolution) - 16 критических ошибок, среднее время устранения 0.6 дня, 94% ошибок были исправлены за один день.

Что касается источников получения информации о наличии новых, публично не аннонсированных, уязвимостей, то в 22.5% случаев информация о проблемах поступила от разработчиков уязвимых программ, 19.6% - от партнеров/конкурентов (например, другие дистрибутивы), 5% уязвимостей было найдено силами Red Hat. Для публично анонсированных уязвимостей: 24.6% - из списков рассылки, 13.7 - от партнеров, 6.9% - из CVE анонсов. В 51% случаях сведения о проблемах поступили в Red Hat до публичного анонса уязвимости.

Для 59 уязвимостей присутствуют готовые эксплоиты, 40% из которых используют переполнение буфера и в большинстве случаев неработоспособны при использовании интегрированных в Enterprise Linux 4 механизмов защиты, препятствующих выполнению кода в стеке. Наиболее опасной угрозой для не обновленной системы Enterprise Linux 4, является возможность применения локальным пользователем эксплоита для получения root привилегий. Кроме того в сети удалось зафиксировать два червя, распространяющиеся через бреши в безопасности сторонних PHP приложений, не входящих в поставку Enterprise Linux 4.

Список из 10 самых опасных пакетов выглядит следующим образом:

• mozilla/seamonkey - 100/22 (критических/серьезных) уязвимостей;
• firefox - 94/31;
• thunderbird - 46/22;
• kernel - 0/115;
• HelixPlayer - 7/0;
• cups - 0/23;
• samba - 4/2;
• krb5 - 2/10;
• php - 0/14;
• evolution - 3/3.