Red Hat publica su informe de riesgo de seguridad del producto 2016

El equipo de seguridad Red Hat ha publicado este mes su informe correspondiente al año 2016 [PDF], en el cual se ofrece información sobre las amenazas y vulnerabilidades halladas en todos sus productos.

Entre todos los descubrimientos plasmados en el informe, se pueden destacar los siguientes tres puntos:

• Solo mirando los problemas que afectaron a Red Hat Enterprise Linux, se encontraron 38 avisos críticos que abordaron 50 vulnerabilidades críticas. Todas ellas fueron corregidas el mismo o un día después de hacerse públicas.
• Durante el mismo periodo de tiempo, a través de todo el catálogo de Red Hat, el 76% de los problemas críticos tuvieron actualizaciones para corregirlos el mismo día o siguiente después de hacerse públicos, con un 98% que fueron corregidos como mucho una semana después de hacerse públicos.
• El Equipo de Seguridad del Producto de Red Hat ayuda a los clientes a determinar el impacto actual de una vulnerabilidad. La mayoría de los problemas hallados en 2016 no afectaban a ninguna marca concreta.

Contando todos los productos de Red Hat, se corrigieron en total unas 1.300 vulnerabilidades a través de la publicación de 600 avisos de seguridad en 2016. Las vulnerabilidades más críticas fueron halladas en el navegador o sus componentes, por lo que las instalaciones de Red Hat Enterprise Linux a nivel de servidor quedaron afectadas por vulnerabilidades menos severas. Según la compañía, una forma de reducir los riesgos es apostando por sus productos modulares, los cuales aseguran la instalación la variante correcta y la revisión del conjunto de paquetes, eliminando lo que no es necesario.

La compañía resalta en su informe el duro trabajo que supone la supervisión y corrección a nivel de seguridad de sus productos, debido a que estos están compuestos por miles de paquetes individuales. Por otro lado, también se recalca que "el manejo de vulnerabilidades a través de miles de componentes de terceros es una tarea significante", lo que da a entender que Red Hat tiene que lidiar con problemas procedentes de distintos frentes.

El Equipo de Seguridad del Producto de Red Hat tiene un gran reconocimiento por parte de la comunidad Linux, habiendo investigado más de 2.600 potenciales vulnerabilidades que podrían afectar a los productos de la compañía, corrigiendo un total de 1.346 vulnerabilidades. Esto supone un aumento del 30% con respecto 2015, cuando el equipo investigó unas 2.000 potenciales vulnerabilidades.

En 2016, el 29% de las vulnerabilidades (394) fueron corregidas antes de hacerse públicas, suponiendo una disminución con respecto al 32% de 2015. La compañía espera que este dato varíe año tras año. Por otro lado, el tiempo de embargo (estado en el que una vulnerabilidad puede no hacerse pública) medio de las vulnerabilidades fue de 7 días, reduciendo de forma notable los 13 días de 2015.

Fuente: Muy Seguridad | Red Hat