Package management in Linux systems is a popular way to install and update software and the de facto standard on Ubuntu, Debian, Fedora, RedHat, CentOS and OpenSUSE. The software provided in the repositories can however differ when it comes to fixing vulnerabilities since package maintainers in some cases must implement some specific changes to the source used to build the software to make it compatible with the Linux system it is intended to be executed on. The Common Vulnerabilities and Exposures (CVE) standard provides a way to compare how fixes for vulnerabilities is handled on each Linux system where this work is aimed to examine if there exists different patterns when it comes to the time in days it took for a fix to emerge in the changelog for the software. This data is collected by using scripts in Linux to iterate through the National Vulnerability Database (NVD) which contains CVE entries, the severity score in terms of the impact of the vulnerability and references to which systems that the vulnerability affects. The dates are collected by using another script that iterates through the changelog of all available packages and saves the earliest date when the fix was issued. The results show that there is not enough statistical significance to reliably determine if a difference existed between the Linux distributions except when comparing OpenSUSE with Ubuntu, Debian and Fedora where significance was found which suggests that further study is needed. The comparison showed that Ubuntu, Debian and Fedora was slightly better than RedHat on average regarding the time windows between when a CVE was published to when a fix was mentioned in the changelog and OpenSUSE was slower than all other Linux distributions. / Att använda pakethanterare i Linux system är ett populärt sätt att installera och uppdatera mjukvara och är det främsta sättet som används av Ubuntu, Debian, Fedora, RedHat, CentOS och OpenSUSE. Mjukvaran som finns i Linux repositories kan dock skilja sig när det gäller att fixa sårbarheter eftersom package maintainers som är ansvariga för att bygga paketen ibland måste implementera specifika ändringar i källkoden för att mjukvaran skall vara kompatibel med den Linux distribution som den ämnad att köras på. Common Vulnerabilities and Exposures (CVE) standarden möjliggör att kunna jämföra hur en fix för sårbarheter i mjukvaran hanteras på varje Linux distribution där detta arbete ämnar att undersöka om det finns olika mönster när det gäller hur många dagar det tog för en fix att hittas i ändringsloggen för mjukvaran. Den data som kommer användas samlas in genom att använda script i Linux som itererar genom National Vulnerability Database (NVD) som innehåller CVE poster, en poäng som innebär vilken allvarlighetsgrad sårbarheten har och referenser till systemen som sårbarheten påverkar. Datumen samlas in med ett annat script som itererar genom alla ändringsloggar för alla tillgängliga paket och sparar det tidigaste datumet då en matchande fix hittades. Resultatet visar att det inte finns tillräckligt med statistisk signifikans för att tillförlitligt fastställa om en skillnad existerade mellan Linux distributionerna förutom när OpenSUSE jämfördes med Ubuntu, Debian och Fedora där signifikans hittades vilket tyder på ett behov av ytterligare studier inom ämnet. Jämförelsen visade att Ubuntu, Debian och Fedora var lite bättre än RedHat i genomsnitt när det gäller tidsfönstret mellan när en CVE publicerades till när en fix nämndes i ändringsloggen och sist kom OpenSUSE som var långsammare än alla andra Linux distributioner.
Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:his-15244 |
Date | January 2018 |
Creators | Janson, Fredrik |
Publisher | Högskolan i Skövde, Institutionen för informationsteknologi |
Source Sets | DiVA Archive at Upsalla University |
Language | Swedish |
Detected Language | Swedish |
Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
Format | application/pdf |
Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.0094 seconds