Die Versicherungsgesellschaft GEICO hat eine vorläufige Version von TuxTape veröffentlicht, einem Toolkit, mit dem Sie Ihre eigene Infrastruktur zum Erstellen, Zusammenstellen und Bereitstellen von Live-Patches für den Linux-Kernel einsetzen können. Mit Live-Patches können Sie Korrekturen im laufenden Betrieb auf den Linux-Kernel anwenden, ohne das System neu zu starten oder anzuhalten. Der Projektcode ist in Rust geschrieben und wird unter der Apache 2.0-Lizenz vertrieben.
Unternehmen wie Red Hat, Oracle, Canonical und SUSE stellen für ihre Distributionen Live-Patches mit Fehlerbehebungen für Schwachstellen bereit, es stehen jedoch nur Low-Level-Tools für die Arbeit mit Patches zur Verfügung und die Patches selbst werden hinter verschlossenen Türen erstellt. Die Gentoo- und Debian-Distributionen versuchten, die offenen Projekte eLivepatch und Linux-Livepatching zu entwickeln, das erste wurde jedoch seit sechs Jahren aufgegeben und das zweite ist in der Phase der Erstellung eines Testprototyps steckengeblieben.
Ziel von TuxTape ist es, ein eigenes System zum Erstellen und Bereitstellen von Live-Patches bereitzustellen, das unabhängig von Drittanbietern ist und sich an jeden Linux-Kernel anpassen lässt, nicht nur an distributionsspezifische Kernel-Pakete. TuxTape kann Live-Patches generieren, die mit dem von Red Hat entwickelten Kpatch-Toolkit kompatibel sind (weitere ähnliche Tools neben Kpatch sind beispielsweise KGraft von SUSE, Ksplice von Oracle und der universelle Livepatch). Patches werden als ladbare Kernelmodule gebildet, die Funktionen im Kernel ersetzen und dabei das Ftrace-Subsystem verwenden, um auf die im Modul enthaltenen neuen Funktionen umzuleiten.
TuxTape kann Informationen über Fixes für Linux-Kernel-Sicherheitslücken verfolgen, die in der Mailingliste „linux-cve-announce“ und im Git-Repository veröffentlicht werden, die Sicherheitslücken nach Schweregrad einstufen, die Anwendbarkeit auf unterstützte Linux-Kernel bestimmen und Live-Patches auf Grundlage regulärer Patches für LTS-Kernel-Zweige generieren. Die Anwendbarkeit der Quellpatches wird durch die Profilerstellung von Kernel-Builds beurteilt. Patches mit Schwachstellen, die den Zielkernel nicht betreffen, werden ignoriert.
TuxTape umfasst ein System zum Verfolgen neuer Kernel-Schwachstellen, einen Patch- und Schwachstellendatenbank-Builder, einen Server zum Speichern von Metadaten, ein Kernel-Build-Dispatch-System, einen Kernel-Builder, einen Patch-Generator, ein Patch-Archiv, einen Client zum Empfangen von Patches für Endhosts und eine interaktive Schnittstelle zum Verwalten der Generierung von Live-Patches.
Die Entwicklung befindet sich im experimentellen Prototypenstadium. Für erste Tests wird Folgendes empfohlen: tuxtape-cve-parser zum Parsen von Informationen zu Schwachstellen und Erstellen einer Datenbank mit Patches; Tuxtape-Server mit Implementierung der gRPC-Schnittstelle für Patch-Generierungsdienste; tuxtape-kernel-builder zum Erstellen des Kernels in einer bestimmten Konfiguration und Generieren eines Build-Profils; tuxtape-dashboard ist eine Konsolenschnittstelle zum Überprüfen und Erstellen von Live-Patches basierend auf Quell-Patches, die vom tuxtape-Server empfangen wurden.
Source: opennet.ru
