Pojišťovna GEICO zveřejnila předběžnou verzi TuxTape, sady nástrojů, která vám umožňuje nasadit vlastní infrastrukturu pro vytváření, sestavování a dodávání živých záplat pro jádro Linuxu. Živé záplaty vám umožňují aplikovat opravy na jádro Linuxu za běhu, bez restartování nebo zastavení systému. Kód projektu je napsán v Rustu a je distribuován pod licencí Apache 2.0.
Živé záplaty s opravami zranitelnosti poskytují pro své distribuce společnosti jako Red Hat, Oracle, Canonical a SUSE, otevřené jsou však pouze nízkoúrovňové nástroje pro práci s opravami a samotné záplaty vznikají za zavřenými dveřmi. Distribuce Gentoo a Debian se pokoušely vyvinout open source projekty elivepatch a linux-livepatching, ale ten první byl na 6 let opuštěn a druhý se zastavil ve fázi vytváření testovacího prototypu.
TuxTape si klade za cíl poskytovat svůj vlastní systém pro vytváření a dodávání živých záplat, který je nezávislý na dodavatelích třetích stran a přizpůsobitelný jakémukoli jádru Linuxu, nejen balíčkům jádra specifickým pro distribuci. TuxTape může generovat živé záplaty kompatibilní se sadou nástrojů kpatch vyvinutou společností Red Hat (další podobné nástroje kromě kpatch zahrnují SUSE kGraft, Oracle Ksplice a univerzální livepatch). Záplaty jsou tvořeny jako načítatelné moduly jádra, které nahrazují funkce v jádře a využívají subsystém ftrace k přesměrování na nové funkce obsažené v modulu.
TuxTape může sledovat informace o opravách zranitelnosti linuxového jádra zveřejněné v mailing listu linux-cve-announce a v úložišti Git, seřadit zranitelnosti podle závažnosti, určit použitelnost pro podporovaná linuxová jádra a generovat živé záplaty na základě pravidelných záplat pro větve jádra LTS. Použitelnost zdrojových oprav se posuzuje pomocí profilování sestavení jádra. Opravy s chybami zabezpečení, které neovlivňují cílové jádro, jsou ignorovány.
TuxTape obsahuje systém pro sledování nových zranitelností jádra, tvůrce databází oprav a zranitelností, server pro ukládání metadat, systém odesílání sestavení jádra, tvůrce jádra, generátor oprav, archiv oprav, klienta pro příjem oprav pro koncové hostitele a interaktivní rozhraní pro správu generování živých oprav.
Vývoj je ve fázi experimentálního prototypu. Pro počáteční testování jsou doporučeny následující: tuxtape-cve-parser pro analýzu informací o zranitelnostech a vytváření databáze s patchi; tuxtape-server s implementací rozhraní gRPC pro služby generování záplat; tuxtape-kernel-builder pro sestavení jádra v dané konfiguraci a generování profilu sestavení; tuxtape-dashboard je konzolové rozhraní pro prohlížení a vytváření živých záplat na základě zdrojových záplat přijatých ze serveru tuxtape.
Zdroj: opennet.ru
