Secunia: В 2007 году в Red Hat обнаружено 633 уязвимости

image

Теги: Secunia, Red Hat, Windows, уязвимости

Датская антивирусная компания Secunia заявила, что в 2007 году в системах Red Hat было обнаружено больше уязвимостей, чем в линейке Microsoft Windows.

Датская антивирусная компания Secunia заявила, что в 2007 году в системах Red Hat было обнаружено больше уязвимостей, чем в линейке Microsoft Windows. Компания проводила исследование по пяти группам систем: Microsoft Windows (98 и выше); Mac OS X; HP-UX 10.x и 11.x; Solaris 8, 9 и 10; и Red Hat (исключая Fedora). Итак, больше всего сообщений об уязвимостях пришлось на долю Red Hat - 633 ошибки. Следом расположилась Solaris с 252 уязвимостями, Apple Mac OS X на третьем месте с 235 ошибками. Windows на фоне конкурентов выглядит чуть ли не самой безопасной системой – всего 123 ошибки. Наконец меньше всего новых "дыр" – 75 штук – было обнаружено в HP-UX.

В свою очередь руководитель отдела безопасности Red Hat Марк Кох (Mark Cox) опроверг данные Secunia и сообщил, что в системах Red Hat было обнаружено всего 404 уязвимости. "Для продуктов и сервисов Red Hat в 2007 году мы выпустили 306 патчей, устранивших 404 уязвимости. Из этих 404 уязвимостей 41 были критичными", - сказал Кох. Он отметил, что практически не существует людей, которые использовали бы одновременно все разработки Red Hat. А если брать изолированно тот же Enterprise Linux, то в нем было обнаружено только 48 ошибок, из них 27 были критическими. Кох подчеркнул низкую информативность подобных исследований, так как они в принципе не могут показать, насколько безопасна та или иная система.


или введите имя

CAPTCHA
Страницы: 1  2  3  
1
18-01-2008 14:20:31
=== было обнаружено всего 404 уязвимости === 404 означает, что ощибок найдено не было
0 |
1
18-01-2008 14:59:12
Надо делить кол-во найденных уязвимостей на кол-во продуктов, в которых они были найдены. Или вообще поделить на кол-во всех программных продуктов, поставляемых с системой. Вот тогда и будет видна более-менее справедливая оценка надёжности ОС.
0 |
1
18-01-2008 15:46:17
Более-менее справедливую оценку можно было бы получить, сравнив статистику отказов, заражений вирусами и так далее. При равной функциональности продуктов и компетентности админа (или домашнего пользователя). Например так: Виндовс ХР в стандартной поставке (без антивируса конечно) выжила без заражения и всяких там BSODов в интернете с реальным IP 20 минут. А RHEL в минимальной конфигурации при тех же условиях - год. Итого RHEL надежнее в 525600/20=26280 раз. Цифры взял с потолка, но порядок примерно такой.
0 |
18-01-2008 16:37:56
Может он просто качественно хакнутый год простоял?
0 |
1
18-01-2008 17:12:42
Так проверить это проще пареной репы. Грузимся с сидюка и сравниваем побитно системные файлы. Да мало ли способов... Можно трафик отснифить с другой машины на наличие бяк всяких. Короче, это как раз не вопрос.
0 |
1
18-01-2008 18:08:36
ой, ну да вот веть как все в выборе ОС отстают, нужно же RHEL пользовать а не XP, она же надежнее только "почему-то" большая часть населения планеты пользует Windows. Странные люди, правда? ) Да и вирусов к ней пишеться почему-то больше, ой как странно ) Наверное это все из-за дыр, а не из-за того что она такая популярная.. ))
0 |
1
19-01-2008 08:03:52
вот веть как все в выборе ОС отстаютВсе ось не выбирают. Подавляющее большинство даже не задумываются над этим вопросом. Просто приходят на работу, и пользуются тем, что дали. Или покупают комп с предустановленной осью и пользуются не задумываясь. В лучшем случае висту на ХР поменяют. Или ты хочешь сказать, что "большая часть населения планеты" компетентна в таких вопросах? И их мнение хоть кого-то интересует? А вот те, кто ось таки выбирает, они имеют некие критерии выбора (цель установки оси). И должны иметь надежные обоснования для своего выбора. Осей много разных, дистрибутивов вообще кошмарное количество - все самому попробовать невозможно. Поэтому хотелось бы, что бы специальные люди потестировали объективно, и в удобном виде представили непроплаченный результат.
0 |
1
19-01-2008 12:20:30
Большая часть населения планеты компетентна в таких вопросах, о которых ты и понятия не имеешь. Блин, выучили толпу обезъян разбираться более-менее в компах. Так они теперь думают, что могут учить других...
0 |
1
19-01-2008 14:20:24
Блин, выучили толпу обезъянОдно радует - зайдет в обезьянник иногда такой "user" весь такой в белом, и скажет что нибудь строго по делу, аргументировано, кратко и исчерпывающе. Большая часть населения планеты компетентна в таких вопросах, о которых ты и понятия не имеешь. Есть такая штука интересная - мозг. Если ее включать изредка хотя бы, то станет совершенно понятно - в необходимых мне вещах я разбираюсь достаточно (с голоду пока не помер). А в чем разбирается бангладешский крестьянин или итальянский мафиози мне совершенно фиолетово. Что характерно - я их ничему учить и не собираюсь.
0 |
1
19-01-2008 16:27:31
Одно радует - зайдет в обезьянник иногда такой "user" весь такой в белом, и скажет что нибудь строго по делу, аргументировано, кратко и исчерпывающе Я просто предпочитаю посмотреть на проблему с другой стороны. Вам нужно вылечиться, а доктору - не только вылечить, но и научиться новому. Вы для него объект эксперимента. Если ее включать изредка хотя бы, то станет совершенно понятно - в необходимых мне вещах я разбираюсь достаточно Именно что необходимых. 15 форматов команды ls.. Этого недостаточно, чтобы хорошо знать математику или древнегреческую философию
0 |
1
19-01-2008 19:17:36
Мне по работе положено ежегодно проходить обследование у психиатра, если ты это имеешь в виду. Проверяют серьезно. Пока не уволили. У ls есть 15 форматов? Я думал опции и аргументы у нее есть. Пойду маны читать, раз такое дело. Спасибо, что научил меня, раздолбая такого.
0 |
1
19-01-2008 19:25:10
Нет, я подразумевал - стать самому психиатором.
0 |
21-01-2008 10:05:38
бля, как же я могу жить без знания древнегреческой философии?! пойду убьюсь об стену ЗЫ слово "специализация" тебе о чём-нибудь говорит, о мудрейший?
0 |
1
19-01-2008 17:48:16
> Просто приходят на работу, и пользуются тем, что дали. А вот как думаешь, почему большинство всеядных организаций выбирают системы от Microsoft? А как думаешь, почему на большинстве брендовых и не брендовых новых PC предустановленны системы от Microsoft? Они же такие плохие, дырявые и под них куча вирусов.. ну почему? Да, наверное все бараны и ничего не соображат. Только все-таки, почему-то большенство обычные пользователей доплачивают денег и покупают, скажем ноутбук с Vista а не FreeBSD и т.д., странно, правда?
0 |
1
19-01-2008 18:59:41
Ну если у тебя аргументов по обсуждаемой теме нет (исследование безопасности осей), ну о чем говорить... О том, что большинство выбирает клинское и беленькую паленку, а не спортзал? О том, что Хлев-2 показывают чаще, чем что бы то ни было в истории телевидения? Я тебе секрет открою (я вообще люблю секреты открывать): за Гитлера большинство проголосовало как то раз. Иди тепрь евреям доказывай, что большинство не может ошибаться. А почему большинство почти всегда неправо, этот вопрос не для этого сайта.
0 |
1
19-01-2008 21:09:15
Далеко ты ушел. Все намного проще. Организации (в большинстве) выбирают Win серверные платформы, так как: 1. Найти действительно грамотного человека, которые будет их обслуживать проще и человек этот будет дешевле. 2. Дырки в безопасности, и там и там - это головная боль этого человека. 3. Организациям проще купить платный продукт с поддержкой и обслуживанием, чем не вкладывать деньги в бесплатный, но возможно потом получать головную боль в случае проблем с бесплатным продуктом или с человеком, который его обслуживает. P.S. Поверь, все и всегда делают так, как выгоднее.
0 |
1
19-01-2008 23:15:12
По итогам закончившегося 30 июня финансового года, прибыль компании Microsoft достигла 51,12 миллиарда долларов... Ежегодные убытки от рассылок спама в США составляют $712 с одного работника, или $71 млрд со всего бизнеса США... Огромное количество электронного рекламного спама обходится японским компаниям в 800 миллиардов иен или в 7 миллиардов 400 миллионов долларов США...И это еще только штаты с японцами, а по всему миру? С какой оси идет весь этот спам, никто и не догадывается, ага. Спам это единственная проблема? Общий баланс кто-то подбивал? Поверь, все и всегда делают так, как выгоднее.Все и всегда делают так, как им кажется выгоднее. Но большинство оказывается в пролете. А то бы все были миллиардерами.
0 |
20-01-2008 01:26:40
>1. Найти действительно грамотного человека, которые будет их обслуживать проще и человек этот будет дешевле. т.е. MCSE/MCSA работают за еду, так? >2. Дырки в безопасности, и там и там - это головная боль этого человека. не совсем. в случае critical security bug где-нить в bind(хоть я его и не использую) ничто не мешает мне: 1)пропатчить сорец руками 2)попытаться самостоятельно исправить баг(при наличии соотв.знаний, ессно) 3)попытаться свести к 0 вероятность успешной эксплуатации дыры. В случае с MS я должен ждать когда они соизволят выпустить патч. Кроме того, в их адвайзори технические подробности пишутся крайне расплывчато("не дай бог злые хакиры поймут как дырой пользоваться!"). >3. Организациям проще купить платный продукт с поддержкой и обслуживанием, чем не вкладывать деньги в бесплатный, но возможно потом получать головную боль в случае проблем с бесплатным продуктом или с человеком, который его обслуживает. угу. поэтому покупают solaris/rhel/sles с поддержкой. Причём, платите вы только за поддержку, а не как у MS: сначала продукт, потом клиентские лицензии, потом за поддержку.
0 |
1
20-01-2008 03:10:24
> т.е. MCSE/MCSA работают за еду, так? совсем не так. лично я встречал одного человека из немногих, который действительно очень хорошо знает *nix, но.. встречал пару человек из многих, которые готовы выйти в серьезные знания в Windows. Все актуально в серверных платформах. Везде соотношение ~ 1 к 50. > не совсем. в случае critical security bug где-нить в bind(хоть я его и не использую) ничто не мешает мне: А я пользовал Bind. Попробуте выпустить патч самостоятельно, а потом уже как-то комментируйте это. > угу. поэтому покупают solaris/rhel/sles с поддержкой. Причём, платите вы только за поддержку, а не как у MS: сначала продукт, потом клиентские лицензии, потом за поддержку. Я введу речь чтоль о бесплатных системах. P.S. Всегда удивляли люди, который не купив ни одной машины в своей жизни, словесно "гадили" машину соседа. Мол такая плохая, жигули а не бмв и т.п. Всегда не понимал людей, который сами не купили ни одного продукта, обсуждали этот продукт. P.S.S. Ничего личного, просто иногда кажется, что это подходит к 90% процентов авторов комментов этого форума.
0 |
21-01-2008 03:00:58
>совсем не так. лично я встречал одного человека из немногих, который действительно очень хорошо знает *nix, но.. встречал пару человек из многих, которые готовы выйти в серьезные знания в Windows. у вас одна статистика, у меня - другая факт в том, что квалифицированные люди стоят денег >А я пользовал Bind. Попробуте выпустить патч самостоятельно, а потом уже как-то комментируйте это. эм... я его тоже активно использовал, пока не ушёл на powerdns. Часто патч - это несколько строчек поправить/добавить if'ов. >Я введу речь чтоль о бесплатных системах. А что, за солярис денег надо платить? Или Sun Microsystems ходит с ОБЭПом в гости? Или тот же RHEL/SLES? Они бесплатны.
0 |
1
20-01-2008 03:32:53
> угу. поэтому покупают solaris/rhel/sles с поддержкой. Причём, платите вы только за поддержку, а не как у MS: сначала продукт, потом клиентские лицензии, потом за поддержку. Все не угу. Вы далеки от политики Microsoft. Продукты приобретаются либо с клиентскими лицензиями, либо с процессорными... никто Вам не будет продавать продукт без лицензий. Про поддержку вообще интересно, тут я вообще удивлен, расскажите пожалуйста подробнее, т.к. я купив продукт у Майкрософт должен платить отдельно деньги за базовую поддержку? Очень интересно..
0 |
21-01-2008 02:54:03
>Все не угу. Вы далеки от политики Microsoft. Продукты приобретаются либо с клиентскими лицензиями, либо с процессорными... никто Вам не будет продавать продукт без лицензий. Без лицензий - нет. Вот тут их 5шт, да? http://www.softburg.ru/catalog/element.php?ID=4614&SID=500 Только 5 клиентов - это разговор ниочём. Смотрим: http://www.softburg.ru/catalog/section.php?ID=813 Именно это я и подразумевал под "сначала продукт, потом клиентские лицензии". А теперь после всех этих трат вы ещё платите за Software Assurance.
0 |
1
19-01-2008 20:34:09
Не знаю как у вас. А у нас в городе пользователи доплачивают за то чтобы на ноуте не было висты. Ноут с вистой в среднем стоит на 2 тыр дороже чем аналогичный ноут с FreeDOS , например. странно, правда ?
0 |
1
19-01-2008 21:31:40
У нас тоже ноут с вистой стот дороже. Так не очень понял, почему пользователи доплачивают, если ноут с BSD стоит дешевле?
0 |
1
19-01-2008 23:21:15
Завтра очередной страдалец-знакомый принесет мне свой новый ноут. Сносить висту. Игроман он, а под вистой у него половина игрушек не идет. Завтра я в очередной раз обогащусь на сотку баксов. Слава микрософт! Спасибо Билли за прибавку к зарплате. Ушел искать дрова.
0 |
1
20-01-2008 03:18:31
> Ушел искать дрова. Да не надо их искать. Бредовые поставщики поставляют ОС (что виндов, что линукс) для своих продуктов уже вместе с драйверами. Это на примере ноутбуков. P.S. Если Вы купили ноутбук и там стоит виста или бсд без драйверов, или с драйверами, которые работают неправильно + эта ОС приобретена легально, то все подобного рода проблемы ложатся на поставщика.. У Вас же легальная ОС, так ли?
0 |
1
20-01-2008 07:57:39
Давно ты видать ноутбуков не покупал. Дрова есть. На висту. Но на ней не работают нужные этому человеку игрушки. Игрушки идут под ХР, но дров для ХР нет. И на сайте производителя ноута дров под эту модель нет. Такая сейчас "политика партии" на фирме Асер - дрова только под висту на новые модели. Поэтому ситуация такая: или не работают половина игрушек на висте, или половина устройств на ХР. За это люди и доплачивают, что бы поставить ХР, но с дровами, которых официально нет в природе. И это не проблемы поставщика, поставщик гарантирует работу железа с предустановленной осью, но не несет ответственность за работу стороннего софта. Господи, как маленькому объясняю! Ты что, совсем не в курсе современных дел с любимой виндой? Если Вы купили ноутбукВнимательно читай посты, меньше косяков будет. Я ноут не покупал. И даже не рекомендовал к покупке.
0 |
1
20-01-2008 11:23:52
Месяца 2 назад покупал ноут с установленной вистой. Сам в игры не играю, но все что устанавливал жене, все завелось без проблем (там правда игрушки 3). Видимо по этому вопрос о совместимости для меня странно выглядит. Ссори, может не прав - просто сам не ощущал таких проблем.
0 |
20-01-2008 23:03:43
Откуда вы беретесь? То "ЭКСПЕРТ" то вермут...... Вы прочитали пост то? там же руским языком написано сносить висту. Многие брендовые, "design for vista" с оемной же вистой идут с дровами для XP? Так же не для всех моделей ноутов есть на офсайте эти дрова. Для некоторых железок дров для ХР даже в природе нет, но можно поставить от других. Маленько через ж..., но работают.
0 |
1
19-01-2008 09:37:52
В твоей методике слишком много случайных факторов, сильно влияющих на результат. Например 1 раз винда могла простоять 20 минут, а другой раз - 4 часа. И это при всех прочих равных. Не говоря уже о том, что более-менее точное сравнение компетентности админов просто невозможно.
0 |
1
19-01-2008 11:33:38
В твоей методике слишком много случайных факторовЭту методику не я изобрел. А случайные факторы давно научились учитывать и контролировать еще до изобретения компьютеров. Методика проведения экспериментов и статистической обработки результатов отшлифована до блеска. Ну, почти до блеска. Уж по крайней мере получше, чем тупая методика подсчета количества ошибок без учета их качества. Вот сравни: мальчик Петя сделал в контрольной по арифметике 243 ошибки на двух страницах, а главный конструктор атомных реакторов Петр Петрович сделал одну ошибку в проекте реактора на 82 тысячи страниц проекта. Кто из них больший урод?
0 |
1
19-01-2008 15:02:05
Если ошибка в проекте реактора - номер цвета панели управления (типа должна быть черной, получилась серой) - мальчик Петя получит больше ремня. Но в любом случае - методика понятна. Правда не годится для холиварных исследований. Холиварные исследования не имеют смысла, поскольку невозможно прогнозировать, появится ли в следующем месяце мегахакер, который найдет такую уязвимость, что просто все компы под одной осью умрут, или нет. Надеюсь не вызывает сомнений тот факт, что народ СПЕЦИАЛЬНО не пишет корявый софт. А то получается как будто созывает рук. проекта своих разработчиков и говорит им: "Народ, мы должны написать софт! В этом софте мы должны сделать 200 ошибок и не меньше. Приступайте!" А после выхода софта тестеры начинают эти 200 ошибок искать Посему исследования, бодро сообщающие, что Вин надежнее Лин потому что в прошлом месяце было найдено меньше ошибок в Вине, так же бодро сообщат через месяц, что Лин опять стал надежнее Вина, поскольку в Вине нашли больше ошибок. И что теперь? Раз в месяц менять ось? )) А вообще, я просто пальцы перед работой разминаю, не обращайте внимания
0 |
1
19-01-2008 15:29:33
Если ошибка в проекте реактора - номер цвета панели управленияА если блик на неправильно покрашенной панели не позволит вовремя заметить отклонение важного параметра? А если папа у двоечника Пети нервный, расстроится, пойдет на службу и нажмет на "красную кнопку в черном чемоданчике"? То есть идея понятна - если слишком много "если", и последствия каждого "если" непредсказуемы, тогда надо радикально менять методику определения надежности. Для сложных систем самая надежная методика - натурные испытания. А современный софт - сверхсложная система. в прошлом месяце было найдено меньше ошибок в Вине, так же бодро сообщат через месяц, что Лин опять стал надежнее ВинаЭто и говорит о том, что методика поштучных подсчетов ошибок в софте бессмысленна по сути. И принимать решения на ее основе нельзя.
0 |
1
21-01-2008 10:44:14
Совершенно согласен. Проверка настоящая проверка софта возможна только в рабочих условиях, а поэтому никогда не проводится. 1. Кому нафиг надо подставляться (про early adopter-ов говорить не будем, там свои тараканы)? 2. Рабочие условия бесконечно разнообразны. Имхо, при выборе софта сначала смотрят на то, насколько он соответствует поставленной задаче (например, может находить связи среди кучи разрозненной инфы), потом на его стабильность и потом на его безопасность. Если выбор ограничен одним продуктом, то на все остальное кладется. За примерами ходить далеко не надо - огромное количество таможенного софта соотвествует только первому требованию: выполняет свою задачу, но при этом вылетает и виснет, и уж 100% не проверено на уязвимости.
0 |
1
20-01-2008 15:39:38
А сколько надо задействовать компьютеров и админов для каждой ОС в течение года, чтобы получить приемлеемую погрешность? ИМХО такое исследование вылетит в копеечку. Особенно если учесть ещё расходы на выявление факта взлома системы.
0 |
1
20-01-2008 16:27:50
А сколько надо задействовать компьютеров и админовКомпов не так и много - виртуальные машины давно не новость. Админов не считал, но учитывая, что виртуальные машины клонировать легко, то настраивать надо один раз каждую систему. Поведение человека в инете вполне можно имитировать программно - роботу вполне по силам посещать порносайты. вылетит в копеечкуА кому сейчас легко? Вообще то для таких дел государство и существует. Вон сколько воя поднялось по поводу высказывания адмирала штатовского. В штатах миллионы тратятся на исследование особенностей брачных игр долгоносиков в период полнолуния, а бюджеты МО, NSA и прочих контор вообще сумасшедшие. Это ведь вопрос национальной безопасности, на него не найдется десяток-другой миллионов баксов? Имею подозрение, что это не только по силам государству (в том числе и Российскому), но и делается в соответствующих ведомствах уже давно. Только результаты неудобные выходят. А вообще, эти вопросы лучше гуглу задать (honeypot поискать например для начала). Исследования такие в небольших масштабах публиковались. Вопросы там непростые, но решаемые.
0 |
1
21-01-2008 13:12:52
почему-ж тогда вирусы только под виндовс? ))) на редхерах большинство провайдерских серверов сделано )))
0 |
18-01-2008 14:46:35
И в какой они комплектации редхат тестили, с каким софтом? С иксами и гномом, чтоли? а Виндовоз какой тестировали? Новость обладает низкой информативностью!
0 |
1
18-01-2008 14:47:17
>> Датская антивирусная компания Secunia заявила, что в 2007 году в системах Red Hat было обнаружено больше уязвимостей, чем в линейке Microsoft Windows. А сколько их в мс НЕ обнаружено? 100, 200, больше?.. >> Кох подчеркнул низкую информативность подобных исследований Полностью согласен - методика не понятная. Вообще по заявлению Коха видно - человек головой думает. Датские дешевле обошлись, чтоли?...
0 |
1
18-01-2008 14:56:49
Собсно, сам отчет: http://secunia.com/gfx/SECUNIA_2007_Report.pdf И что написано на opennet.ru: Интересные данные представлены в разделе операционных систем: в Windows было обнаружено 123 уязвимости, из них 98 непосредственно связанны с операционной системой. В RadHat было найдено 633 уязвимости, но с системой связано всего 4, остальные 629 проблем касаются стороннего ПО. Для MacOS X это соотношение - 89/146, HP UX - 14/61, Solaris 51/201. Из отчета: Red Hat was found to have by far the most vulnerabilities, at 633, with 99 percent found in third-party components. Windows had only 123 bugs reported, but 96 percent of those were found in the operating system itself. Каменты излишни (для любителей померяццо цифрами уязвимостей без анализа их принадлежности)
0 |
1
18-01-2008 15:22:06
Что то я поспешил Secunia поругать. Оказывается, они нормальные парни.
0 |
1
19-01-2008 12:30:10
Вопрос только вот. Как считать будем? Ведь в винде помимо ядра присутвуют еще Х-ы, Firefox, медиаплееры и еще куча всякого софта. Red Hat was found to have the most number of vulnerabilities (633), with 99% (629 vulnerabilities) due to third-party components - это вообще суперприкольная фраза. А что, собственно, в системе от редхата является редхатовским? Компиляция? Приколисты, блин...
0 |
20-01-2008 01:31:48
>Как считать будем? Ведь в винде помимо ядра присутвуют еще Х-ы, Firefox, медиаплееры и еще куча всякого софта. Иксы в венде. зачот! =))) gdi тама и оно в ядре.
0 |
1
18-01-2008 15:07:28
Дык это и понятно. он простой как валенок внутри )
0 |
1
18-01-2008 15:07:53
это я про HP-UX
0 |
Страницы: 1  2  3