Qualche giorno fa Red Hat ha pubblicato il rapporto sulle vulnerabilità di Red Hat Enterprise Linux 4, giunto al suo terzo anno di vita (15 febbraio 2005).
Sono stati presi in considerazione la totalità dei rischi finora emersi, sulla base di due fattori: vulnerabilità e minacce. Nella prima parte del rapporto, vengono quindi analizzate tutte le vulnerabilità e le loro soluzioni; nella seconda, le minacce che possono celarsi dietro queste vulnerabilità per mezzo di exploit e worm.
In questo articolo, cercherò di sintetizzare solo la prima parte del rapporto, invitando i lettori interessati a leggere l’intero report.
Sono state prese in analisi tre diverse possibili installazioni di RHEL 4: installazione RHEL 4 AS di default, installazione RHEL 4 WS di default e RHEL 4 AS completa (con tutti i package).
Se consideriamo solo le vulnerabilità a livello critico, ne abbiamo 7 per un’installazione di default RHEL 4 AS, 83 per una di default di RHEL 4 WS, mentre per RHEL 4 AS (completa) sono 87.
In tutti i casi si è scelto lo scenario del caso peggiore, ossia la prima versione di RHEL 4 senza gli update (5) che sono usciti in questi 3 anni. Questo significa che chi dovesse installare oggi una RHEL, installerebbe la versione RHEL 4 Update 5 che avrebbe un numero di vulnerabilità minore di quello evidenziato dal rapporto.
Inoltre, vediamo ora quali sono i pacchetti principalmente affetti da queste 87 vulnerabilità: ben 64 sono relativi a prodotti Mozilla (Firefox, Thunderbird, SeaMonkey), 7 da plugin Media Player (Helix Player), 5 da altri browser (Lynx, Links, KDE, QT) e 7 da software vari (Samba, Kopete, Gaim, ecc…).
Sarebbe interessante fare un paragone con il report fornito da Microsoft in relazione al primo anno di vita di Windows Vista, di cui abbiamo parlato.
Ma si riuscirebbe a fare un confronto reale tra i due, vista la natura molto diversa dei sistemi?