-
제품
-
솔루션
Migration Center
HP-UX에서 Red Hat Enterprise Linux로 마이그레이션 IBM AIX에서 Red Hat Enterprise Linux로의 마이그레이션 JBoss Enterprise Middleware Migrate to Red Hat Enterprise Linux Solaris to Red Hat Enterprise Linux UNIX에서 Red Hat Enterprise Linux로 마이그레이션 시스템 관리 최신 Red Hat Enterprise Linux 버전으로 업그레이드 Red Hat과 상담 시작 마이그레이션 서비스
보안 측정
Red Hat® 보안 대응 팀은 보안 측정을 위한 툴과 데이터를 제공하는 데 힘쓰고 있습니다. 이러한 노력의 일환으로 Red Hat은 이사회 차원에서 MITRE CVE(Common Vulnerabilities and Exposures) 및 OVAL(Open Vulnerability and Assessment Language) 프로젝트에 참여하고 있습니다.
보고서와 측정 기준도 제공하지만, 무엇보다 고객과 연구진이 특정 상황에 따라 자체 측정 기준을 만들고 Red Hat에 책임을 물을 수 있도록 원시 데이터를 제공하고 있습니다.
OVAL 정의
OVAL 정의는 Red Hat Enterprise Linux® 3, 4, 5 및 6에 영향을 미치는 전체 취약점에 사용할 수 있습니다.
-
OVAL 정의(통합된 XML 파일, .bz2)(계속 업데이트됨)
취약점 발표와 인정
Red Hat 보안 대응 팀은 현재 조사 중인 취약점과 Red Hat 제품 및 서비스에 영향을 주지 않는 취약점에 대한 인정서와 공식 성명을 발표합니다.
-
cve-metadata-from-bugzilla.xml(XML 피드, 1일 2회 업데이트됨)
본 발표는 CVE 이름별로 Red Hat 취약점에서 직접 확인할 수도 있습니다..
취약점 데이터
CVE 대 날짜, CVE 대 심각도, CVE 대 CVSS 매핑
본 데이터 소스는 CVE 명칭을 문제가 최초로 공개된 날짜에 매핑합니다. 이렇게 하면 위험 일수를 토대로 통계를 작성할 수 있습니다. 본 데이터 소스는 문제의 심각도와 문제를 파악한 방법(날짜와 소스)도 캡처합니다.
날짜는 제3자가 제공할 수 있지만 심각도 분류는 Red Hat 보안 대응 팀이 제공하고 Red Hat에 국한되기 때문에 배포판 및 벤더에 따라 달라질 수 있습니다.
본 파일은 수동으로 작성되며 주 또는 1주 또는 2주에 한번 됩니다(또는 요청이 있을 경우나 secalert@redhat.com에 문의한 경우).
-
cve_dates.txt(2011-01-31 업데이트)
RHSA 대 날짜 매핑
본 데이터 소스는 주의보가 발행된 일시에 대한 Red Hat 보안 주의보의 매핑입니다. 본 데이터는 대부분 Red Hat Network로부터 자동으로 생성되지만 수동 조정이 필요한 일부 입력 내용은 주석으로 제공되었습니다.
-
release_dates.txt(1일 2회 업데이트됨)
RHSA 대 CVE 및 CPE 매핑
본 데이터 소스는 수정되는 취약점에 대한 Red Hat 보안 주의보의 매핑입니다(CVE 이름으로 식별). 본 파일은 패키지 이름 및 CPE(Common Platform Enumeration) 형식의 영향을 받는 제품 이름을 포함하기 때문에 제품이나 패키지의 부분 집합별로 파일을 필터링할 수 있습니다.
-
rhsamapcpe.txt(1일 2회 업데이트됨)
기본 설치에 대한 CPE 목록
Red Hat Enterprise Linux는 다양한 패키지로 제공되지만 기본으로 설치되지는 않습니다. 본 파일은 기본 설치의 패키지 목록을 제공하며, 측정 기준을 필터링하는데 사용할 수 있습니다. 형식은 CPE 이름이며 패키지 이름이 추가됩니다.
CPE 사전
CPE는 IT 시스템과 소프트웨어, 패키지에 대한 구조화된 명명 체계입니다. 참고를 위해, Red Hat이 사용하는 CPE 이름을 Red Hat 제품 설명에 매핑하는 사전을 제공합니다. 일부 CPE 이름은 공식 CPE 사전에 없는 새 제품에 해당되며, 임시 CPE 이름으로 간주해야 합니다.
-
cpe-dictionary.xml(1일 2회 업데이트됨)
데이터 분석
Red Hat은 위의 cve_dates.txt, release_dates.txt 및 rhsamapcpe.txt 데이터 소스를 토대로 보고서를 작성하는 Perl 스크립트를 제공합니다.
Red Hat Enterprise Linux와 같은 특정 제품과 날짜 범위에 대해 스크립트는 수정된 보안 문제를 심각도별로 모두 열거할 수 있으며 평균 x일입니다로 표시되는 위험 일수 측정 기준과 함께 취약점 워크플로 통계를 제공합니다. 예를 들어, 다음 명령을 실행하여 Red Hat Enterprise Linux 5에 대한 중요한 전체 주의보의 요약 보고서를 작성합니다:
perl daysofrisk.pl --cpe enterprise_linux:5 --severity C
-
daysofrisk.pl(2011-01-05 업데이트)
샘플 보고서
daysofrisk.pl script를 사용하여 위의 데이터 소스를 토대로 샘플 보고서를 실행할 수 있습니다. 사전에 생성된 예제는 다음과 같습니다.
|
배포판 |
날짜 |
심각도 |
측정 기준 |
|
Red Hat Enterprise Linux 3(전체 패키지) |
20031022-20101031 |
모든 날짜
|
179개 취약점
|
|
Red Hat Enterprise Linux 4(전체 패키지) |
20050215-20110131 |
모든 날짜
|
1786 개 취약점
|
|
Red Hat Enterprise Linux 4 AS(기본 설치 패키지) |
20050215-20110131 |
모든 날짜
|
62 개 취약점
|
|
Red Hat Enterprise Linux 5 Server(기본 설치 패키지) |
20070314-20110131 |
모든 날짜
|
897 개 취약점
|
|
Red Hat Enterprise Linux 5(전체 패키지) |
20070314-20110131 |
모든 날짜
|
168 개 취약점
|
기타 분석
-
위험 보고서: Red Hat Enterprise Linux 4의 5년 [PDF]: 본 백서는 Red Hat Enterprise Linux 4가 2005년 2월 15일 출시된 후 처음 5년간의 보안 상태를 고찰합니다. 여기에는 측정 기준과 주요 취약점, 사용자가 보안 문제로 피해를 입은 가장 일반적인 경로가 포함됩니다.
-
Mark Cox 측정 기준 웹로그: Mark Cox Red Hat 보안 대응 팀장은 Red Hat 제품에 대한 보안 측정과 측정 기준을 통찰하는 웹로그를 발행하고 있습니다.
