Importanța patch-urilor live ale kernel-ului Linux a ieșit la iveală odată cu vulnerabilitatea recentă Dirty COW. Vulnerabilitatea de escaladare a privilegiilor Dirty COW a zguduit lumea Linux – toate kernelurile lansate în ultimii nouă ani au fost afectate și, mai rău, vulnerabilitatea a fost ușor de exploatat.
Cu exploatări care au apărut la doar câteva ore după ce vulnerabilitatea a fost descoperită, administratorii de sistem se luptau să remedieze problema. După cum am sugerat alte postări anterioare, trebuie să aplicați patch-uri de securitate sistemului dvs. cât mai curând posibil și să vă asigurați că sistemul de operare este actualizat periodic cu ultimele patch-uri.
Dar aceasta nu este o sarcină banală, mai ales în companiile cu mii de servere care rulează aplicații și baze de date de afaceri importante, deoarece actualizarea kernel-ului necesită o repornire. În IT, acest aspect înseamnă așteptarea unei posibile ferestre pentru o lucrare de mentenanță, trecerea prin procesele de evaluare a riscurilor și negocierea cu diferite departamente a intervalului de timp acceptabil pentru fereastra de întreținere pe baza criticității vulnerabilității. Chiar și repornirea a mii de servere ulterior nu este o sarcină ușoară, deoarece unele servere nu au tendința să se restarteze normal, și să se blocheze în fsck necesitând astfel intervenții umane.
Fereastra necesară pentru mentenanță, care provoacă downtime, conduce adesea la întârzierea actualizării cu lunile, ducând compania la compromis – vulnerabilitățile din kernel-urile vechi pot crea breșe de securitate uriașe pentru o întreprindere și pot fi invitații pentru hackeri.
Progresele recente cu aplicarea live a patch-ului de kernel rezolvă majoritatea acestor probleme, deoarece elimină nevoia de repornire, atenuează timpii de întrerupere și intervenția umană. Tehnica permite remedierea problemelor de securitate în kernel, economisind timp și bani pentru departamentele IT, păstrând în același timp software-ul compatibil cu cele mai bune practici de rulare a versiunilor non-vulnerabile și cele mai actualizate.
Iată cum funcționează patch-urile live: furnizorii compilează doar modificările necesare (patch-uri) în formă binară și o injectează în siguranță în kernelul care rulează. Procesul este oarecum complicat și necesită un dezvoltator de kernel foarte calificat și o setare avansată de testare pentru a dezvolta și a elibera patch-urile într-un mod sigur.
Mai mulți furnizori de sisteme de operare Linux oferă astăzi servicii de corelare a kernel-ului. Ubuntu oferă servicii de patch-uri live pentru ultima versiune Ubuntu LTS 16.04. SuSE și Oracle Linux oferă patching live pentru oferta Enterprise Linux. În fiecare caz, este un serviciu add-on care trebuie achiziționat.
Oferta cea mai versatilă și mai „enterprise-ready” vine de la KernelCare.com, deoarece acceptă o gamă largă de nuclee pentru distribuțiile Linux, inclusiv RHEL, CentOS, Ubuntu, Debian și altele. Soluția este prezentă pe piață de doi ani și sprijină nu numai cele mai noi kernel-uri, dar și nucleele mai vechi – aspect care lipsește de la ofertele Ubuntu sau SuSE. KernelCare este utilizat de mii de clienți, iar unii dintre clienții noștri din Enterprise utilizează KernelCare cu succes. Inginerii au testat, de asemenea, tehnologia KernelCare și au găsit-o utilă în remedierea tuturor vulnerabilităților cunoscute în kernel-urile Linux.
RHEL are și serviciul de patch-uri live, dar nu este încă disponibil publicului larg. În plus, serviciul lor acceptă numai cele mai recente kerneluri RHEL 7 și nu acoperă nucleul CentOS.
Comentarii