Red Hat Product Security Risk Report 2016

“Offen”-gelegt

| Autor: Thomas Drilling

Red Hat Security Report 2016.
Red Hat Security Report 2016. (Red Hat Security Report 2016.)

Traditionell zum Ende des Alten und Start des neuen Fiskaljahrs, das bei Red Hat am ersten März beginnt, veröffentlicht der Linux-Distributor seinen „Red Hat Product Security Risk Report“.

Der Red Hat Product Security Risk Report für 2016 liegt jetzt vor und geht auf die Analyse von Red Hats eigenem Security-Team zurück. Der Report ist eine Auflistung der im jeweils zurückliegenden Jahr bekannt gewordenen und geschlossenen Sicherheitslücken für die wichtigsten Produkte. Der vollständige Bericht kann als PDF-Datei kostenfrei von Red Hat heruntergeladen werden.

Schadensklassen

Red Hat klassifiziert die gefundenen Sicherheitslücken dabei nach ihren potentiellen Auswirkungen in die Kategorien Low, Moderate, High und Critical.

Neben (wenigen) schwerwiegenden Lücken, die jeweils mit einem eigenen Namen versehen auch jenseits der Community für Aufmerksamkeit sorgen, sind die namenlosen kleineren Lücken in der Mehrzahl und betreffen z. B. Web-Browser und einige wenige Desktop-Anwendungen.


So gab es in 2016 in allen Versionen von Red Hat Enterprise Linux rund 50 kritische Sicherheitslücken die in 38 entsprechenden Sicherheitsmeldungen kumulierten. Alle betroffenen Pakete in Red Hat Enterprise Linux wurden von Red Hat noch am Tag der Bekanntgabe oder spätestens einen Tag danach aktualisiert; bei anderen Produkten ließ sich Red Hat dagegen etwas länger Zeit. Konkret erhielten hier 76% der Pakete ein Update am selben oder folgenden Tag. Spätestens nach einer Woche waren 98% der gemeldeten Sicherheitslücken behoben.

In Summe hat das Sicherheitsteam 2016 rund 1300 Sicherheitslücken bearbeitet und dazu 600 Sicherheitsmeldungen heraus gegeben. Untersucht wurden insgesamt sogar 2600 potentielle Sicherheitslücken, rund 600 mehr als 2015. Allerdings hatten die Hälfte davon keine Auswirkung, bzw. Bedeutung für Produkte von Red Hat.

Embargo

Red Hat wünscht sich, dass jede potenzielle Sicherheitslücke vor der allgemeinen Veröffentlichung den eigenen Entwicklern bekannt gemacht wird und spricht sich für vergleichsweise kurze Zeitspannen zwischen Mitteilung und Veröffentlichung aus. Dieses so genannten „Embargo“ solle nach den Vorstellungen von Red Hat möglichst kurz sein, damit die Lücke für potentielle Angreifer möglichst wenig „einbringt“.

Die Red-Hat-Entwickler sind allerdings 2016 nach eigener Aussage nur in 29% der Fälle in den Genuss eines Embargos gekommen. In nahezu alle anderen Fällen wurde Red Hat von der jeweiligen Veröffentlichung überrascht, sodass die eigenen Entwickler nur noch „reagieren“ konnten. Dabei bezog das Red-Hat-Team 65,5 Prozent aller Sicherheitslücken selbst aus Mailinglisten, 12,8 Prozent fanden über persönliche Beziehungen ihren Weg zu den Sicherheitsexperten von Red Hat und 10,6 Prozent wurden von Entwicklern bei Red Hat intern gemeldet, also Entwicklern, die bei Red Hat selbst beschäftigt sind oder von Red Hat bezahlt werden. Andere Quellen spielten kaum einer Rolle.