Högskolan i Skövde

his.sePublications
Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • apa-cv
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Ubuntu, Debian, Fedora, RedHat och OpenSUSE: En jämförelse av CVE på Linux distributioner
University of Skövde, School of Informatics.
2018 (Swedish)Independent thesis Basic level (degree of Bachelor), 15 credits / 22,5 HE creditsStudent thesisAlternative title
Ubuntu, Debian, Fedora, RedHat and OpenSUSE : A comparison in CVE on Linux distributions (English)
Abstract [en]

Package management in Linux systems is a popular way to install and update software and the de facto standard on Ubuntu, Debian, Fedora, RedHat, CentOS and OpenSUSE. The software provided in the repositories can however differ when it comes to fixing vulnerabilities since package maintainers in some cases must implement some specific changes to the source used to build the software to make it compatible with the Linux system it is intended to be executed on.

The Common Vulnerabilities and Exposures (CVE) standard provides a way to compare how fixes for vulnerabilities is handled on each Linux system where this work is aimed to examine if there exists different patterns when it comes to the time in days it took for a fix to emerge in the changelog for the software.

This data is collected by using scripts in Linux to iterate through the National Vulnerability Database (NVD) which contains CVE entries, the severity score in terms of the impact of the vulnerability and references to which systems that the vulnerability affects. The dates are collected by using another script that iterates through the changelog of all available packages and saves the earliest date when the fix was issued.

The results show that there is not enough statistical significance to reliably determine if a difference existed between the Linux distributions except when comparing OpenSUSE with Ubuntu, Debian and Fedora where significance was found which suggests that further study is needed. The comparison showed that Ubuntu, Debian and Fedora was slightly better than RedHat on average regarding the time windows between when a CVE was published to when a fix was mentioned in the changelog and OpenSUSE was slower than all other Linux distributions.

Abstract [sv]

Att använda pakethanterare i Linux system är ett populärt sätt att installera och uppdatera mjukvara och är det främsta sättet som används av Ubuntu, Debian, Fedora, RedHat, CentOS och OpenSUSE. Mjukvaran som finns i Linux repositories kan dock skilja sig när det gäller att fixa sårbarheter eftersom package maintainers som är ansvariga för att bygga paketen ibland måste implementera specifika ändringar i källkoden för att mjukvaran skall vara kompatibel med den Linux distribution som den ämnad att köras på.

Common Vulnerabilities and Exposures (CVE) standarden möjliggör att kunna jämföra hur en fix för sårbarheter i mjukvaran hanteras på varje Linux distribution där detta arbete ämnar att undersöka om det finns olika mönster när det gäller hur många dagar det tog för en fix att hittas i ändringsloggen för mjukvaran.

   

Den data som kommer användas samlas in genom att använda script i Linux som itererar genom National Vulnerability Database (NVD) som innehåller CVE poster, en poäng som innebär vilken allvarlighetsgrad sårbarheten har och referenser till systemen som sårbarheten påverkar. Datumen samlas in med ett annat script som itererar genom alla ändringsloggar för alla tillgängliga paket och sparar det tidigaste datumet då en matchande fix hittades.

Resultatet visar att det inte finns tillräckligt med statistisk signifikans för att tillförlitligt fastställa om en skillnad existerade mellan Linux distributionerna förutom när OpenSUSE jämfördes med Ubuntu, Debian och Fedora där signifikans hittades vilket tyder på ett behov av ytterligare studier inom ämnet. Jämförelsen visade att Ubuntu, Debian och Fedora var lite bättre än RedHat i genomsnitt när det gäller tidsfönstret mellan när en CVE publicerades till när en fix nämndes i ändringsloggen och sist kom OpenSUSE som var långsammare än alla andra Linux distributioner.

Place, publisher, year, edition, pages
2018. , p. 35
Keywords [en]
Linux, CVE, Vulnerability, Ubuntu, Debian, Fedora, RedHat, CentOS, OpenSUSE
Keywords [sv]
Linux, CVE, Sårbarhet, Ubuntu, Debian, Fedora, RedHat, CentOS, OpenSUSE
National Category
Computer and Information Sciences
Identifiers
URN: urn:nbn:se:his:diva-15244OAI: oai:DiVA.org:his-15244DiVA, id: diva2:1212525
Subject / course
Informationsteknologi
Educational program
Network and Systems Administration
Supervisors
Examiners
Available from: 2018-06-03 Created: 2018-06-02 Last updated: 2018-06-03Bibliographically approved

Open Access in DiVA

fulltext(680 kB)1597 downloads
File information
File name FULLTEXT01.pdfFile size 680 kBChecksum SHA-512
f0b5d43dd0fba6e20be15ee28f16bf31c215c0a84adfc82ab08b4dcee52f5b072141d1708f4c3aab477b214497f62c0d240726951acbae7842779a7686e3cfa3
Type fulltextMimetype application/pdf

Search in DiVA

By author/editor
Janson, Fredrik
By organisation
School of Informatics
Computer and Information Sciences

Search outside of DiVA

GoogleGoogle Scholar
Total: 1597 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

urn-nbn

Altmetric score

urn-nbn
Total: 892 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • apa-cv
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf