URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 110698
[ Назад ]
Исходное сообщение
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено opennews , 16-Мрт-17 11:19 
Компания Red Hat опубликовала (https://access.redhat.com/blogs/766093/posts/2957221) отчёт (https://www.redhat.com/cms/managed-files/su-2016-security-ri...) с анализом рисков,  связанных оперативностью устранения уязвимостей, выявленных в продуктах Red Hat в течение 2016 года. За год в Red Hat Enterprise Linux было выявлено 50 критических уязвимостей. Примечательно, что обновления с устранением всех критических проблем были выпущены не позднее, чем на следующий день, после появления публичной информации об уязвимости.


При рассмотрении всех продуктов Red Hat, а не только RHEL, в тот же или на следующий день после появления информации об уязвимости было устранено 76% критических уязвимостей, а в течение недели - 98%. Всего службой безопасности Red Hat в 2016 году было изучено около 2600 уязвимостей, потенциально затрагивающих Linux-системы, что на 30% больше, чем в 2015 году. Продукты Red Hat оказались подвержены 1346 уязвимостям, наиболее опасные из которых, как правило, затрагивали web-браузеры или компоненты браузеров, т.е. в серверных системах число опасных проблем было незначительным.
О 394 (29%) уязвимостях службе безопасности Red Hat стало известно до появляения публичной информации об уязвимости.


Информация о 65.5% уязвимостей была получена из списков рассылки и через мониторинг объявлений об уязвимостях в upstream-проектах. Сведения о 12.8% уязвимостей были получены через уведомления, отправленные представителями upstream-проектов. 10.6% уязвимостей были выявлены сотрудниками Red Hat. Информация о 5.6% проблемах сообщена в приватной переписке с исследователями безопасности или клиентами, столкнувшимися с проблемой. О 3.6% уязвимостях стало известно от представителей других дистрибутивов, через закрытый форум (http://oss-security.openwall.org/wiki/mailing-lists/distros). 1.9% уязвимостей всплыло при изучении новых идентификаторов CVE.

URL: https://access.redhat.com/blogs/766093/posts/2957221
Новость: http://www.opennet.me/opennews/art.shtml?num=46200

Содержание
Сообщения в этом обсуждении
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено opan , 16-Мрт-17 11:19 
Работают люди.
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 16-Мрт-17 11:20 
Интересно было бы увидеть аналогичную статистику по отечественным дистрибутивам: росе, альту, астре.
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Sluggard , 16-Мрт-17 11:25 
Интересно было бы увидеть нечто подобное от Microsoft. С пруфами. =))
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 16-Мрт-17 12:32 
В среднем от двух недель до двух месяцев. Уже было два крупных скандала на эту тему (Google’s Project Zero).
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Sw00p aka Jerom , 16-Мрт-17 15:33 
Мелкомягкие скоро редхат купят ))
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Гостище , 16-Мрт-17 16:09 
Чтоб сделать AzureHat и доказать всему миру, что линукс ненадёжен, так как по всему миру много-много линуксов в винде, которая сама не падает, а линукс в ней плохо пашет.
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Sluggard , 16-Мрт-17 18:06 
Кто-то собрался продавать им акции? )
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 16-Мрт-17 19:04 
> Мелкомягкие скоро редхат купят ))

Скорее каноникл, он должен быть сильно дешевле (по причине убыточности).

"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Sw00p aka Jerom , 18-Мрт-17 12:55 
шапка перспективней
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Гослинуксятор , 16-Мрт-17 11:25 
GosLinux основан на centos, который основан на red-hat, значит всё тоже очень хорошо?
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено allnix , 16-Мрт-17 11:44 
Для АНБ?
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено ann , 16-Мрт-17 11:45 
Не думаю что они каждую неделю получают новый сертификат от ФСБ - дорого же.
Так что любой гослинукс рищито (оказывается ругательство), зато с сертификатом о безопасности.
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено tensor , 16-Мрт-17 12:45 
Абсолютно верно. Плюс, при каждом обновлении нужно собирать софт для токенов и випнетов. Сильно сомневаюсь, что Редсофт это делает на регулярной основе.
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 16-Мрт-17 19:07 
> Так что любой гослинукс рищито (оказывается ругательство), зато с сертификатом о безопасности.

В этом суть ИБ, причём не только в этой стране, но и в мире.

"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено adolfus , 16-Мрт-17 12:03 
> Примечательно, что обновления с устранением всех критических проблем были
> выпущены не позднее, чем на следующий день, после появления публичной
> информации об уязвимости.

Неудивительно -- IBM, который щедро потребляет продукт RH, в свое время выпускал фикспаки на полуось и компоненты на второй-третий день после обращения в поддержку. Надо полагать, что их клиенты стали более требовательны -- два-три дня их уже не устраивает.

"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено via , 16-Мрт-17 12:03 
PR.   Каноники тоже оперативно выпускают патчи
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 16-Мрт-17 19:03 
> Каноники

Их главный по безопасности админил kernel.org на момент эпического взлома. Это уже многое говорит)

"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 16-Мрт-17 12:31 
Надо пользоваться только тем срезом, который проверен ФСТЭК. Там все хорошо)
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено amonymous , 16-Мрт-17 12:33 
Да, там уязвимостей нет. Просто потому, что всем пофиг, и их никто не документирует.
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 16-Мрт-17 16:45 
CentOS сильно отстает?
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Led , 16-Мрт-17 21:17 
> CentOS сильно отстает?

На час-два.

"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено freehck , 17-Мрт-17 00:14 
Обычно в течение суток апдейт доходит.
https://wiki.centos.org/FAQ/General#head-cea9337e6513cc1567c...
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено анонимус вульгарис , 16-Мрт-17 18:49 
Забыли написать, сколько уязвимостей в шапке отказались фиксить, потому что посчитали их некритичными.
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Stax , 16-Мрт-17 19:25 
Так поделитесь информацией. Такие случаи действительно были, с соответствующими пояснениями (напр. с nginx, когда selinux делал проблему неактуальной и вообще она была в nginx, который в EPEL, а не в базовом RHEL).
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено анонимус вульгарис , 17-Мрт-17 15:19 
А почему Вы думаете, что у меня есть эта информация? Я тоже знаю, что прецеденты имеются, а сколько их — в этом очень подробном промо-отчёте почему-то не сказали. Кому это прям очень сильно интересно — могу дать ссылку: https://bugzilla.redhat.com/query.cgi
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 16-Мрт-17 18:49 
А где тэг "Реклама" ? явно же списали с рекламного проспекта.
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Stax , 16-Мрт-17 19:26 
> А где тэг "Реклама" ? явно же списали с рекламного проспекта.

Реклама - это когда opennet получил деньги за нее )
Заплатите, и поставят тег "реклама". А пока, я так понимаю, ни редхат, ни кто еще за это не платил.

"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 16-Мрт-17 19:45 
то есть можно постить откровенно маркетинговые материалы и это не будет считаться рекламой ?
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Аноним , 17-Мрт-17 02:38 
сколько дыр открытых нам готовит просвещенье
"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено лютый жабист__ , 17-Мрт-17 05:03 
У любых других дистрибов общая картина будет намного плачевнее по причине того что в RHEL убогий набор софта, прокси один, web-сервер один, браузер и DE одно итд.

Реально ставишь CentOS, потом EPEL и оттуда ещё гору дырявого софта, которая не попала в эту "статистику".

"Оценка рисков из-за уязвимостей в Red Hat Enterprise Linux"
Отправлено Led , 17-Мрт-17 23:19 
> ещё гору дырявого софта, которая не попала в эту "статистику".

Да, жабoбыдлoкoдeры гуманитарной ориентации всегда так делают.