Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 30.4.2004

Red Hat sai EAL2-tietoturvaluokituksen

Red Hat Enterprise Linux 3 on saanut Evaluation Assurance Level 2 (EAL2) -tietoturvaluokituksen, jota monet valtionhallinnon asiakkaat edellyttävät tietotekniikkahankinnoissaan erityisesti Yhdysvalloissa. Uudesta luokituksesta huolimatta Red Hat on edelleen jäljessä pahinta kilpailijaan, sillä SuSE Linuxille on myönnetty astetta tiukempi EAL3-tietoturvaluokitus. EAL-luokitukset ovat osa laajempaa Common Criteria -sertifiointia.

Sertifiointiprosessi on kallis. Oracle tuki Red Hatia sertifioinnin hankkimisessa, kun taas IBM avusti SuSE Linuxia. Sekä SuSE että Red Hat Linux ovat sertifioinneissa jäljessä Unix- ja Windows-järjestelmiä, joille on myönnetty EAL4-tietoturvaluokitus.

Lue juttu oma, 30.4.2004 00:18. Lähde: news.com.com

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 25 uutta / 25 )
pistettä.
Näytä vain kommentit joilla on vähintään
Oh my
Anonyymi kommentoija, 30.4.2004 00:42:08		 Pisteet: 0
Lueskelin noita CC dokumentteja monta sivua, mutta en tullut hullua hurskaammaksi mitä tuossa oikein vaaditaan. Jargonia ja hypeä oli alussa ainakin monta sivua.

Miksei kukaan tee turvallisuusvaatimuksia vaikka GNKSA -tyyliin? GNKSA on erittäin yksinkertainen ja joka vaatimus on järkeenkäypä ja perusteltu.
Re: Oh my
Anonyymi kommentoija, 30.4.2004 00:51:00		 Pisteet: +1
Miksei kukaan tee turvallisuusvaatimuksia vaikka GNKSA -tyyliin? GNKSA on erittäin yksinkertainen ja joka vaatimus on järkeenkäypä ja perusteltu.
Arvaus: yksi tuhannesta Sektorin lukijasta tuntee käsitteen "GNKSA". Sama juttu kuin Slashdotissa: nörtit heittää vuoron perään kaikenlaisia akronyymejä vaivautumatta niitä selittämään tai antamaan edes linkkiä niiden selityksiin.
Re: Oh my
Anonyymi kommentoija, 30.4.2004 03:14:17		 Pisteet: 0
Miksei kukaan tee turvallisuusvaatimuksia vaikka GNKSA -tyyliin? GNKSA on erittäin yksinkertainen ja joka vaatimus on järkeenkäypä ja perusteltu.
Arvaus: yksi tuhannesta Sektorin lukijasta tuntee käsitteen "GNKSA". Sama juttu kuin Slashdotissa: nörtit heittää vuoron perään kaikenlaisia akronyymejä vaivautumatta niitä selittämään tai antamaan edes linkkiä niiden selityksiin.
Olen tietotekniikan teekkari. Pääsin yhdestä tentistä läpi opettelemalla noin sata akronyymiä

Tämä kertoo jotain tästä alasta..
Re: Oh my
Anonyymi kommentoija, 30.4.2004 09:30:45		 Pisteet: 0

Olen tietotekniikan teekkari. Pääsin yhdestä tentistä läpi opettelemalla noin sata akronyymiä Tämä kertoo jotain tästä alasta..
Kertoo ehkä enemmänkin opetuksen tasosta, jos akronyymien opettelulla pääse tentistä läpi.
Re: Oh my
Anonyymi kommentoija, 2.5.2004 04:30:00		 Pisteet: 0
Olen tietotekniikan teekkari. Pääsin yhdestä tentistä läpi opettelemalla noin sata akronyymiä Kertoo ehkä enemmänkin opetuksen tasosta, jos akronyymien opettelulla pääse tentistä läpi.
Hellou, monet tekniikan alat ovat tälläisiä, kun akronyymin lisäksi tietää se mitä se tarkoittaa onkin jo täysoppinut omalta alaltaan. Sama pätee vielä selvemmin (kärjistetysti) humanistisiin tieteisiin joissa tentistä pääsee läpi kun on lukenut _kirjan_ ja ymmärtänyt suunnilleen mistä siinä puhutaan.

Tietotekniikassa voi vielä joutua opettelemaan koodausta (ei välttämätöntä, jos suuntautuu kaupalliselle alalle tai tietoverkkoihin.) Mutta senhän tosi koodari on opetellut jo ala-aste ikäisenä. Niistä joilla koodaus ei ole selkärangassa jo ennen korkeakouluun menoa, ei ikinä tule kunnollisia koodareita.
Bream Re: Oh my
Bream, 30.4.2004 07:57:03		 Pisteet: 0
Tämä kertoo jotain tästä alasta..
No ei nyt ihan niinkään. Vertaa esim. kuinka moni ymmärtää lääkärien ammattikieltä tai kuinka moni keskiverto autoilija edes autonasentajan termistöä vaikka sanat voi olla tuttuja.
Tässä tapauksessa ammutaan ehkä vähän yli jos vaikka googlella lyhenteeseen löytyy selitys muutamassa sekunnissa.
Re: Oh my
Anonyymi kommentoija, 30.4.2004 08:03:44		 Pisteet: 0
Tässä tapauksessa ammutaan ehkä vähän yli jos vaikka googlella lyhenteeseen löytyy selitys muutamassa sekunnissa.
Ja kaikkien lukijoiden pitäisi käyttää googlea pystyäkseen lukemaan näitä viestejä? Kuulostaa taas hieman tältä RTFM-asenteelta mikä on akronyymien lisäksi toinen paha alan ihmisiä vaivaava vika.

(ja selitys RTFM-akronyymille löytyy googlesta jos joku ei vielä tiedä mitä se tarkoittaa :)
Bream Re: Oh my
Bream, 30.4.2004 09:33:55		 Pisteet: 0
Ja kaikkien lukijoiden pitäisi käyttää googlea pystyäkseen lukemaan näitä viestejä? Kuulostaa taas hieman tältä RTFM-asenteelta mikä on akronyymien lisäksi toinen paha alan ihmisiä vaivaava vika.
Eiköhän tämä foorumi ole tarkoitettu "alan osaajille" joille ei ehkä ihan kaikkea tarvitse vääntää rautalangasta - se olisikin aivan liian vaivalloista.
Re: Oh my
Anonyymi kommentoija, 30.4.2004 09:49:09		 Pisteet: 0
Eiköhän tämä foorumi ole tarkoitettu "alan osaajille" joille ei ehkä ihan kaikkea tarvitse vääntää rautalangasta - se olisikin aivan liian vaivalloista.
Ei kaikkea tarvitse vääntää rautalangasta, mutta ei "alan osaajille" tarkoitetun fooruminkaan tarvitse olla sellainen, missä brassaillaan sillä, kuka tietää eniten akronyymejä ja puhuu niin monimutkaista kieltä, että vain tosigurut (jos hekään) ymmärtävät. Kyllä "alan osaajienkin" pitäisi pystyä puhumaan ja kirjoittamaan suomea, eikä akronyymejä vilisevää suomen ja englannin sekamelskaa.
Re: Oh my
Anonyymi kommentoija, 30.4.2004 12:33:29		 Pisteet: 0
Ei kaikkea tarvitse vääntää rautalangasta, mutta ei "alan osaajille" tarkoitetun fooruminkaan tarvitse olla sellainen, missä brassaillaan sillä, kuka tietää eniten akronyymejä ja puhuu niin monimutkaista kieltä, että vain tosigurut (jos hekään) ymmärtävät. Kyllä "alan osaajienkin" pitäisi pystyä puhumaan ja kirjoittamaan suomea, eikä akronyymejä vilisevää suomen ja englannin sekamelskaa.
Tuo "suomen" kirjoittaminen on niin suhteellinen käsite. jollekin gurulle tuhansien lyhenteiden käyttö tekstissä on ihan "suomea", kun taas jollekin osaamattomalle mummolle jopa sana "Internet Explorer" voi olla jotain ihan käsittämätöntä.
Re: Oh my
Anonyymi kommentoija, 30.4.2004 10:10:43		 Pisteet: 0
Eiköhän tämä foorumi ole tarkoitettu "alan osaajille" joille ei ehkä ihan kaikkea tarvitse vääntää rautalangasta - se olisikin aivan liian vaivalloista.
Mistäpä arvelit sitten heikomman tason osaajien hakevan tietonsa? Tietoturva.fi:stä? Täällä liikkuu paljon hyvää tietoa keskusteluissakin... eikä pelkästään uutisissa.

Sen verran olen minäkin nörtti että voisin yhtä hyvin kymppisormella kirjoittaa sen koko prkl* sanan vaikka suluissa perään. Sen sijaan että alaikäiset nappulat ovat (täällä) keksimässä lisää lyhenteitä tunteakseen (jälleen) olonsa suureksi ja mahtavaksi guruksi?

Onneksi suurin osa ymmärtää että näitä forumeja lukevat muutkin kuin "alan ammattilaiset" ... ja tosi gurut eivät tänne edes välttämättä tule vaan pysyvät slashdotissaan. :)
Re: Oh my
Anonyymi kommentoija, 30.4.2004 17:27:31		 Pisteet: 0
No ei nyt ihan niinkään. Vertaa esim. kuinka moni ymmärtää lääkärien ammattikieltä tai kuinka moni keskiverto autoilija edes autonasentajan termistöä vaikka sanat voi olla tuttuja.
Joka alalla on oma jargoninsa jota ammattilaiset viljelevät ja maallikko ei ymmärrä hölkäsen pöläystä.

Aloin opettelemaan uutta kieltä. Opettaja puhui adverbeistä ja datiiveista jotka olen saattanut opetella joskus lukiossa, mutta ovat sen jälkeen unohtuneet. Kirjassakaan ei selitetty mitä nuo ovat ja vanhat koulukirjat on hukattu aikoja sitten. Jaksavat vielä syyttää tietotekniikkapuolen ihmisiä vaikeiden termien käytöstä.
feenix Re: Oh my
feenix, 30.4.2004 17:55:29		 Pisteet: 0
Joka alalla on oma jargoninsa jota ammattilaiset viljelevät ja maallikko ei ymmärrä hölkäsen pöläystä.
Lääkäripuolella jargon tehostaa ja on osittain tarpeellista, samoin IT-alalla. Mutta lääkärit osaavat selittää asiat kansantajuisesti (yleensä), IT-alan nörtit (huom, nörtit, ei kaikki) haluavat väkisin saada vieläkin huomiota osakseen puhumalla asioista mahdollisimman vaikeakuuloisesti. Johtunee siitä, että IT-ala on nyt massaantunut niin rankasti, ettei se olekaan ihan hepreaa. Jokainen osaa tehdä koneella perusasioita (jos vain lopettaa sen "enhän mä uskalla kun en osaa mitään"-vinkunan), toisin kuin aiemmin. Lääketieteestä osataan perusjuttuja, mutta ei mitään ihmeellistä ja suurin osa uskomuksista on vielä vääriä (nesteen juominen flunssassa, lämpimän juominen jne auttaisi erityisesti ja muita uskomuksia joita on ikuisuus viljelty).

Itse saan vähän liian usein kommentteja kun käytän normaalia sanastoani, kuulemma liikaa "sivistyssanoja", mutta minkäs sille voi kun kommun^H^H^H^H^H^Hkeskustelee globa^H^H^H^H^Hympäri maailmaa olevien ihmisten kanssa, tietyt sanat tulevat sitten suomeksikin mieleen "hienompina" kun ovat muissakin kielissä samantyylisiä.

Jokohan ollaan tarpeeksi offtopikkina vai puhutaanko vielä kolmannen infinitiivin partisiipin perfektistä?
Re: Oh my
Anonyymi kommentoija, 30.4.2004 08:07:40		 Pisteet: 0
Miksei kukaan tee turvallisuusvaatimuksia vaikka GNKSA -tyyliin? GNKSA on erittäin yksinkertainen ja joka vaatimus on järkeenkäypä ja perusteltu.
Good NetKeeping Seal of Approval?
daimoni Re: Oh my
daimoni, 30.4.2004 08:31:29		 Pisteet: 0
Lueskelin noita CC dokumentteja monta sivua, mutta en tullut hullua hurskaammaksi mitä tuossa oikein vaaditaan. Jargonia ja hypeä oli alussa ainakin monta sivua.
No sehän on vain rahasta kiinni minkä tason certifikaatin saat ostettua :-)
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
Tietoturva
Anonyymi kommentoija, 30.4.2004 08:34:22		 Pisteet: 0
En pikaisella etsimisellä löytänyt mitkä windows järjestelmät ovat saaneet EAL4-tietoturvaluokituksen, mutta tuntuu hieman oudolta, että windows merkitään tietoturvassaan korkeaan luokkaan, koska windowsin tietoturvapäivitykset eivät ilmesty kovin nopeasti.

Lueskellessani noita vaatimuksia vaikutti siltä, että suurin osa tuosta sertifikaatista on vain vaatimuksia mitä pitää löytyä, eikä sitä miten turvallinen järjestelmän pitää olla.
Re: Tietoturva
Anonyymi kommentoija, 30.4.2004 19:26:50		 Pisteet: +1
En pikaisella etsimisellä löytänyt mitkä windows järjestelmät ovat saaneet EAL4-tietoturvaluokituksen, mutta tuntuu hieman oudolta, että windows merkitään tietoturvassaan korkeaan luokkaan, koska windowsin tietoturvapäivitykset eivät ilmesty kovin nopeasti. Lueskellessani noita vaatimuksia vaikutti siltä, että suurin osa tuosta sertifikaatista on vain vaatimuksia mitä pitää löytyä, eikä sitä miten turvallinen järjestelmän pitää olla.
Jokainen ammattitaitoinen ohjelmoija tietää varsin hyvin, että kyseisellä sertifioinnilla ei ole paljon arvoa. Se ei todellakaan kerro turvallisuudesta juuri mitään. Pelkkä markkinointikikka edistämään myyntiä. Näitä sertifiointeja on sekalainen seurakunta ja niillä ratsastetaan vailla todellista pohjaa. Ominaisuuslista ei todellakaan kerro asioiden toimivuudesta mitään!!!!
Moose Re: Tietoturva
Moose, 30.4.2004 10:29:20		 Pisteet: 0
En pikaisella etsimisellä löytänyt mitkä windows järjestelmät ovat saaneet EAL4-tietoturvaluokituksen, mutta tuntuu hieman oudolta, että windows merkitään tietoturvassaan korkeaan luokkaan, koska windowsin tietoturvapäivitykset eivät ilmesty kovin nopeasti. Lueskellessani noita vaatimuksia vaikutti siltä, että suurin osa tuosta sertifikaatista on vain vaatimuksia mitä pitää löytyä, eikä sitä miten turvallinen järjestelmän pitää olla.
Kun aloitin lukemaan uutista olin varma että jossain vaiheessa kerrotaan että minkälainen EAL luokitus Windowsilla on (kuten hyvään journalismiin kuuluu taustoittaminen). Samalla tulin olin myös aivan varma että jos Windowsista kirjoitetaan niin joku keksii kommentoida Windowsin luokitusta, oli se sitten hyvä tai huono... Ja tuossahan tuo post sitten on.

Anyway pointtini on että miksi ihmiset joilla ei ole oikeasti muuta tietoa Windowsin tietoturvasta, kun se että siitä löytyy aukkoja tasaseen tahtiin (kuten minä...), päättävät tämän tiedon perusteella kommentoida asiaan kuin asiaan joka vaan liittyy etäisestikkin windowsiin.

Maalikkkona ymmärtääkseni EAL luokitus on todistus aivan jostain muusta kun järjestelmän bugittomuudesta...
Re: Tietoturva
Anonyymi kommentoija, 30.4.2004 12:19:05		 Pisteet: +1

Maalikkkona ymmärtääkseni EAL luokitus on todistus aivan jostain muusta kun järjestelmän bugittomuudesta...
Eikö se lisäksi ole niin että EAL luokitus testaus pyydetään tietystä tasosta, joten se, että Windowsilla on korkeampi taso kuin jollakin unixilla tai tässä tapauksessa Linuxilla ei välttämättä tarkoita, että se olisi turvallisempi. ja myös toisinpäin jos jollakin unixilla on korkeampi taso kuin Windowsilla niin se ei tarkoita, että Windows olisi huonompi kuin ko. unix. Testauksen tilaaja pyytää mitä tasoa testataan ja halvinta on tietysti testata alempaa tasoa. Eli ensin hankitaan se alhaisin taso, mikä tietyissä virastoissa vaaditaan.
feenix Re: Tietoturva
feenix, 30.4.2004 10:49:43		 Pisteet: +1
Maalikkkona ymmärtääkseni EAL luokitus on todistus aivan jostain muusta kun järjestelmän bugittomuudesta...
Luonnollisesti, koska jos olisi olemassa jokin testi, jolla kaikki bugit löydettäisi, kaikki tuotteet olisivat bugittomia. Bugi voi joskus tarkoittaa niin montaa asiaa, että tähän ei kuitenkaan reaalielämässä päästä.

EAL-testin kannalta on muistettava se, että näissä testataan soveltuvuutta tiettyyn asiaan. Esimerkiksi RedHatilla on nyt EAL2 kunhan konetta ei kytketä Intternetskuun. Jos kytketään, ei tuo luokitus meinaa mitään. Jos asennetaan DNS-palvelin, WWW-palvelin, DHCP-palvelin tai joku muu, ei tuo meinaa mitään.

Samoin Windowsin testissä on jätetty nettiin kytkeminen pois. Tämähän helpottaa testaamista, kun ei kaikkia mahdollisia ongelmia yritetä etsiä ja nythän testaus on käytännössä tehty työryhmäpalvelinta tai muuta sisäistä palvelinta silmälläpitäen.
Re: Tietoturva
reni, 30.4.2004 15:06:24		 Pisteet: 0
EAL-testin kannalta on muistettava se, että näissä testataan soveltuvuutta tiettyyn asiaan. Esimerkiksi RedHatilla on nyt EAL2 kunhan konetta ei kytketä Intternetskuun. Jos kytketään, ei tuo luokitus meinaa mitään. Jos asennetaan DNS-palvelin, WWW-palvelin, DHCP-palvelin tai joku muu, ei tuo meinaa mitään.
Ei aivan noinkaan. Testattu kokoonpano on internetissä kiinni ja siinä on testattu muun muassa loggautuminen verkon yli. Mainitsemiasi palveluja ei kuitenkaan ole evaluoitu.

Samoin windowsin kanssa. Kyllä sekin on testattu verkosta tulevia murtoyrityksiä vastaan, mutta ei välttämättä kaikkien palvelujen osalta.
feenix Re: Tietoturva
feenix, 30.4.2004 17:50:42		 Pisteet: 0
Ei aivan noinkaan. Testattu kokoonpano on internetissä kiinni ja siinä on testattu muun muassa loggautuminen verkon yli. Mainitsemiasi palveluja ei kuitenkaan ole evaluoitu. Samoin windowsin kanssa. Kyllä sekin on testattu verkosta tulevia murtoyrityksiä vastaan, mutta ei välttämättä kaikkien palvelujen osalta.
Miten sen nyt ottaa:

A.PEER
Any other systems with which the TOE communicates are assumed to be under the
same management control and operate under the same security policy constraints.
There are no security requirements that address the need to trust external systems or
the communications links to such systems.

Eli jos tässä olisi kytketty intternetskuun niin tämä ei olisi pätenyt sinänsä, tietystihän voidaan kytkeä ja blokata kaikki liikenne, jotta tämä saadaan aikaiseksi (tai sallitaan vain tietystä IP:stä joka on omassa hallinnassa, mutta en sanoisi tällöin tätä samaksi kuin kytketyksi julkisesti intternetskuun, korjataan tuolla sanalla).

Ihanin oletushan näissä on kylläkin A.NO_EVIL_ADMIN:
The system administrative personnel are not careless, wilfully negligent, or hostile, and
will follow and abide by the instructions provided by the administrator documentation.

No, kuinkas monessa paikassa ei ikinä olla huolimattomia ja totellaan admin-dokuja? Kuinka monessa edes luetaan jotain moisia dokuja? ;)
Re: Tietoturva
reni, 30.4.2004 09:50:11		 Pisteet: +2
Lueskellessani noita vaatimuksia vaikutti siltä, että suurin osa tuosta sertifikaatista on vain vaatimuksia mitä pitää löytyä, eikä sitä miten turvallinen järjestelmän pitää olla.
Jotta tietää mitä kaikkea tuossa on evaluoitu, pitää lukea usemapi dokumentti. Ensinnäkin EAL taso (1-7) antaa vaatimukset esimerkiksi tuotekehitykselle ja testaukselle. Mitä korkeampi taso, sen formaalimpaa kehityskokonaisuuden pitää olla. Lisäksi korkeammalla tasolla evaluoitavaa järjestelmää testataan yhden tai useamman ulkopuolisen toimesta. Tasosta riippuen ulkopulisten testaus ja arviointi voi pitää sisällään murtoyrityksiä, koodikatselmointeja, dokumenttien evaluointia, tms.

Esimerkiksi jotkut valmistajat ovat valinneet tasokseen EAL4+ (missä + tarkoittaa, että jokin vaatimuksista on kovempi kuin mitä taso 4 määrittää), ja ottaneet lisävaatimuksena esimerkiksi juuri paremman turvatestauksen. Tällöin tuotteen on saattanut evaluoijan lisäksi arvioida joku tunnettu ulkopuolinen taho kuten NSA.

Tämän EAL-tason lisäksi täytyy lukea myös tuotteelle tehty Security Target, jossa kerrotaan minkälainen kokonaisuus on testattu ja mitkä ovat toiminnalliset vaatimukset. Joillekin tuotteille (kuten palomuureille) on kirjoitettu valmiita vaatimusdokumentteja (Protection Profile), joita valmistaja voi käyttää Security Targetin pohjana.

RedHatin tapauksessa on evaluoitu tuotteet: Red Hat Enterprise Linux AS (Version 3) with security update RHSA-2003:416, Red Hat Enterprise Linux ES (Version 3) with security update RHSA-2003:416, ja Red Hat Enterprise Linux WS (Version 3) with security update RHSA-2003:416.

Lisäksi on tehty seuraavat olettamukset:
- The TOE provides for a level of protection appropriate for an assumed non-hostile and well managed user community. It provides protection against threats of inadvertent or casual attempts to break system security.
- It is not intended to be applicable to circumstances in which protection is required against determined attempts by well funded hostile attackers to breach security, and it does not fully address the threats posed by malicious system development or administrative personnel.
- The TOE was evaluated in standalone mode . Most of its network facilities (e.g. DNS, NFS, NIS and Xwindows) were excluded from the evaluated configuration, but the Security Target did include Security Functions (IA.9, IA.10 and IA.11) relating to remote login.

Lisäksi mm. seuraavat palvelut suljettiin arvioinnin ulkopuolelle: Apache Web Server, Kerberos, Crypto IP Encapsulation, Nmap, LILO, NFS, DNS.

Windowsista on evaluoitu EAL4+-vaatimusten mukaan Windows 200 Server Server, Advanced Server, ja Professional, jokaiseen oli asennettu Service Pack 3 ja Q326886 Hotfix.

Lisää dokumentteja löytyy osoitteesta http://niap.nist.gov/cc-scheme/vpl_type.html.
Re: Tietoturva
reni, 30.4.2004 10:25:03		 Pisteet: +1
SuSen Linuxista on näköjään arvioitu SuSe Linux Enterprise Server V8, Service Pack 3, RC4, with certification-sles-eal3 package. Nuo ylimääräiset paketit löytyvät susen ftp-palvelimelta. Raportissa http://www.bsi.bund.de/zertifiz/zert/reporte/0234a... on lisäksi listattu kaikki asennetut rpm:t. Löytyvät sivulta 22 (B-12) alkaen.

Myöskään susen evaluointi ei pidä sisällään esim. apachea.

Susen turvatesteistä todetaan: "The penetration testing showed the existence of vulnerabilities but none of the vulnerabilities were exploitable in the intended environment." Eli kun noita testituloksia lukee pitää tarkoin tutustua aina siihen mitä on testattu ja minkälaisessa ympäristössä.
Re: Tietoturva
Anonyymi kommentoija, 2.5.2004 04:20:02		 Pisteet: 0
Susen turvatesteistä todetaan: "The penetration testing showed the existence of vulnerabilities but none of the vulnerabilities were exploitable in the intended environment."
Hmmm, tämähän tarkoittaisi että suurin osta Linux-vendorien julkaisemista turvapäivityksistä on itseasiassa turhia, koska haavoittuvuudet eivät ole silti hyväksikäytettävissä.