El equipo de seguridad de Red Hat, la compañía Linux líder que desde hace año y medio está debajo de IBM, ha publicado su informe sobre los riesgos de seguridad a los que se ha enfrentado durante el pasado año 2019.
El informe, que tiene por nombre “Red Hat Product Security Risk Report: 2019”, ofrece datos detallados sobre los fallos de seguridad descubiertos en los productos de la empresa del sombrero rojo. Aquí no solo se abarca su popular distribución Linux corporativa, RHEL, sino también otros como el Middleware, OpenStack, la plataforma de contenedores OpenShift y las soluciones de gestión y virtualización.
Centrándonos en los puntos clave, a Red Hat le reportaron un total de 2.714 fallos de seguridad en 2019, lo que supone una ligera disminución frente a los 2.894 encontrados el año anterior. Sobre las Vulnerabilidades y Exposiciones Comunes (CVE), su número fue de 1.313, una cantidad un 3,2% superior a la de 2018, mientras que en los Avisos de Seguridad de Red Hat (Red Hat Security Advisories) se alcanzó el récord en 2019 con 968, frente a las 745 publicados en 2018.
Pero no todos son números aparentemente malos por parte de Red Hat, ya que 40 avisos críticos sirvieron para corregir 27 vulnerabilidades críticas, el 41% de los problemas críticos fueron corregidos en tan solo un día y el 85% de los fallos críticos fueron corregidos en una semana. A niveles generales de puede decir que la compañía ofrece una buena respuesta frente a los problemas de seguridad graves hallados en sus productos, algo que tendría que ayudar a generar confianza entre sus clientes.
El 71% de las CVE, 1.066, fueron descubiertas en el producto estrella de la compañía, el sistema operativo Red Hat Enterprise Linux, el middleware ocupa el segundo puesto con el 9% y un total de 135 vulnerabilidades, mientras que la plataforma de contenedores OpenShift acaparó el 7,8% con 117 vulnerabilidades, el software de gestión el 6,5% con 97 vulnerabilidades, la plataforma en la nube OpenStack acaparó el 3,1% y la plataforma de virtualización el 1,5%.
Sobre los Avisos de Seguridad de Red Hat (RHSA), la compañía explica que han “corregido más de 1.300 vulnerabilidades al lanzar más de 960 avisos de seguridad en 2019. Si bien es más que el número de CVE que abordamos en 2018 (1.272), no es un aumento significativo, especialmente en comparación con el número de CVE en 2015 (1.336) y 2016 (1.342)”. En la siguiente tabla se puede ver el número de avisos generados por cada uno de los productos de Red Hat abarcando modalidades de instalación por defecto.
También resulta interesante la cantidad de CVE corregidas en cada uno de los paquetes suministrados por RHEL. En primer lugar tenemos al kernel Linux, cosa que posiblemente no sorprenda al tratarse del componente más esencial del sistema operativo. En segundo lugar tenemos al cliente de correo Thunderbird seguido de Firefox y el navegador web Chromium. También se pueden encontrar MySQL 8.0, Java 1.8 de IBM y los componentes de virtualización QEMU-KVM y libvirt.
Por lo que se puede ver, el informe de Red Hat es bastante completo y no solo hace mención a las vulnerabilidades de los productos de propia compañía, sino también a los de otros, de los que se pueden destacar los procesadores de Intel y las muchas vulnerabilidades de tipo canal lateral que los han golpeado en los últimos tiempos.
¿Quieres saber todos los detalles sobre los fallos de seguridad a los que se ha enfrentado Red Hat en 2019? El informe “Red Hat Product Security Risk Report: 2019” está disponible de forma libre y gratuita desde su sitio web, con un resumen publicado en su blog oficial.