Анализ безопасности Red Hat Enterprise Linux 5.3

8/09/2009 12:38

Опубликован отчет с анализом рисков, которым подвергаются пользователи необновленной версии RHEL 5.3. В отчете представлены обобщенные данные по уязвимостям, исправленным в промежутке между выходом релизов RHEL 5.3 и 5.4. За 7 месяцев было устранено 9 проблем, имеющих статус критических, семь из которых связаны с ошибками в Firefox и по одной проблеме в kdelibs и библиотеке NSS. Благодаря использованию в дистрибутиве технологии ExecShield, защищенных вариантов malloc/free и активации FORTIFY_SOURCE опции glibc (дополнительная внутренняя проверка выхода за пределы буфера для функций, таких как strcpy), три проблемы (dhclient, NTP и kerberos5) были защищены от выполнения кода злоумышленника и из разряда критических сведены к вызову отказа в обслуживании. Тем не менее, для присвоения статуса критической уязвимости по рейтингу Red Hat, она обязательно должна быть подвержена удаленной атаке, т.е. не отнесены к разряду критических многочисленные локальные уязвимости, среди которых присутствует три проблемы в Linux ядре, приводящие к повышению привилегий.
Всего для пакетов, поставляемых в базовой системе, за отчетный период было выпущено 51 уведомление о проблемах безопасности с информацией о 166 уязвимостях, из которых 8 критических, 18 важных и 25 средней и низкой степени опасности. Что касается всех пакетов, доступных через официальные репозитории, то выпущено 78 уведомлений (251 уязвимость), из которых 9 критических, 28 важных и 41 средней и низкой степени опасности.
Подробнее