Forsikringsselskabet GEICO har udgivet en foreløbig udgivelse af TuxTape, et værktøjssæt, der giver dig mulighed for at implementere din egen infrastruktur til at oprette, samle og levere live patches til Linux-kernen. Live patches giver dig mulighed for at anvende rettelser til Linux-kernen på farten, uden at genstarte eller stoppe systemet. Projektkoden er skrevet i Rust og distribueres under Apache 2.0-licensen.
Live-patches med sårbarhedsrettelser leveres til deres distributioner af virksomheder som Red Hat, Oracle, Canonical og SUSE, men kun lavniveau-værktøjer til at arbejde med patches er åbne, og selve patcherne oprettes bag lukkede døre. Gentoo og Debian distributioner forsøgte at udvikle åbne projekter elivepatch og linux-livepatching, men den første er blevet forladt i 6 år, og den anden er gået i stå på stadiet med at skabe en testprototype.
TuxTape sigter mod at levere sit eget system til at skabe og levere live patches, der er uafhængigt af tredjepartsleverandører og kan tilpasses til enhver Linux-kerne, ikke kun distributionsspecifikke kernepakker. TuxTape kan generere live patches, der er kompatible med kpatch-værktøjssættet udviklet af Red Hat (andre lignende værktøjer udover kpatch inkluderer SUSEs kGraft, Oracles Ksplice og den universelle livepatch). Patches er dannet som indlæsbare kernemoduler, der erstatter funktioner i kernen, ved at bruge ftrace-undersystemet til at omdirigere til de nye funktioner, der er inkluderet i modulet.
TuxTape kan spore information om Linux-kerne-sårbarhedsrettelser offentliggjort til linux-cve-announce-mailinglisten og i Git-lageret, rangordne sårbarhederne efter sværhedsgrad, bestemme anvendeligheden til understøttede Linux-kerner og generere live patches baseret på almindelige patches til LTS-kernegrene. Anvendeligheden af kilderettelserne vurderes ved at profilere kernebygninger. Patches med sårbarheder, der ikke påvirker målkernen, ignoreres.
TuxTape inkluderer et system til sporing af nye kernesårbarheder, en patch- og sårbarhedsdatabasebygger, en server til lagring af metadata, et kernebyggeafsendelsessystem, en kernebygger, en patchgenerator, et patcharkiv, en klient til modtagelse af patches til slutværter og en interaktiv grænseflade til styring af genereringen af live patches.
Udviklingen er på det eksperimentelle prototypestadium. Til indledende test foreslås følgende: tuxtape-cve-parser til at analysere information om sårbarheder og opbygge en database med patches; tuxtape-server med implementering af gRPC-grænseflade til patch-genererende tjenester; tuxtape-kernel-builder til at bygge kernen i en given konfiguration og generere en build-profil; tuxtape-dashboard er en konsolgrænseflade til gennemgang og oprettelse af live patches baseret på kildepatches modtaget fra tuxtape-server.
Kilde: opennet.ru
