Анализ рисков из-за уязвимостей в Red Hat Enterprise Linux

Компания Red Hat опубликовала отчет с анализом рисков, связанных оперативностью устранения уязвимостей, выявленных в продуктах Red Hat в течение 2016 года. В течение года в Red Hat Enterprise Linux было выявлено 50 критических уязвимостей. Примечательно, что обновления с устранением данных проблем были выпущены не позднее, чем на следующий день, после появления публичной информации об уязвимости.

При рассмотрении всех продуктов Red Hat, а не только RHEL, в тот же или на следующий день после появления информации об уязвимости было устранено 76% всех критических уязвимостей, а в течение недели - 98% проблем. Всего службой безопасности Red Hat в 2016 году было изучено около 2600 уязвимостей, потенциально затрагивающих Linux-стек, что на 30% больше, чем в 2015 году. Продукты Red Hat оказались подвержены 1346 уязвимостям, наиболее опасные из которых, как правило, затрагивали web-браузеры или компоненты браузеров, т. е. в серверных системах число опасных проблем было незначительным. О 394 (29%) уязвимостях службе безопасности Red Hat стало известно до появляения публичной информации об уязвимости.

Информация о 65.5% уязвимостей была получена из списков рассылки и через мониторинг объявлений об уязвимостях в upstream-проектах. Сведения о 12.8% уязвимостей были получены через уведомления, отправленные представителями upstream-проектов. 10.6% уязвимостей были выявлены сотрудниками Red Hat. Информация о 5.6% проблемах сообщена в приватной переписке с исследователями безопасности или клиентами, столкнувшимися с проблемой. О 3.6% уязвимостях стало известно от представителей других дистрибутивов, через закрытый форум. 1.9% уязвимостей всплыло при изучении новых идентификаторов CVE.