La compañía de seguros GEICO ha publicado una versión preliminar de TuxTape, un kit de herramientas que le permite implementar su propia infraestructura para crear, ensamblar y entregar parches en vivo para el kernel de Linux. Los parches en vivo le permiten aplicar correcciones al kernel de Linux sobre la marcha, sin reiniciar ni detener el sistema. El código del proyecto está escrito en Rust y se distribuye bajo la licencia Apache 2.0.
Empresas como Red Hat, Oracle, Canonical y SUSE proporcionan parches en vivo con correcciones de vulnerabilidades para sus distribuciones, pero solo están abiertas herramientas de bajo nivel para trabajar con parches, y los parches en sí se crean a puertas cerradas. Las distribuciones Gentoo y Debian intentaron desarrollar los proyectos abiertos elivepatch y linux-livepatching, pero el primero estuvo abandonado hace 6 años y el segundo se estancó en la etapa de creación de un prototipo de prueba.
TuxTape tiene como objetivo proporcionar su propio sistema para crear y entregar parches en vivo que sea independiente de proveedores externos y adaptable a cualquier kernel de Linux, no solo a paquetes de kernel específicos de la distribución. TuxTape puede generar parches en vivo compatibles con el kit de herramientas kpatch desarrollado por Red Hat (otras herramientas similares además de kpatch incluyen kGraft de SUSE, Ksplice de Oracle y el livepatch universal). Los parches se forman como módulos de kernel cargables que reemplazan funciones en el kernel, utilizando el subsistema ftrace para redirigir a las nuevas funciones incluidas en el módulo.
TuxTape puede rastrear información sobre correcciones de vulnerabilidades del kernel de Linux publicadas en la lista de correo linux-cve-announce y en el repositorio Git, clasificar las vulnerabilidades por gravedad, determinar la aplicabilidad a los kernels de Linux compatibles y generar parches en vivo basados en parches regulares para las ramas del kernel LTS. La aplicabilidad de los parches de origen se evalúa mediante el perfil de las compilaciones del kernel. Se ignoran los parches con vulnerabilidades que no afectan al kernel de destino.
TuxTape incluye un sistema para rastrear nuevas vulnerabilidades del kernel, un generador de bases de datos de parches y vulnerabilidades, un servidor para almacenar metadatos, un sistema de despacho de compilación de kernel, un generador de kernel, un generador de parches, un archivo de parches, un cliente para recibir parches para hosts finales y una interfaz interactiva para administrar la generación de parches en vivo.
El desarrollo se encuentra en la fase de prototipo experimental. Para las pruebas iniciales, se sugieren lo siguiente: tuxtape-cve-parser para analizar información sobre vulnerabilidades y crear una base de datos con parches; tuxtape-server con implementación de interfaz gRPC para servicios de generación de parches; tuxtape-kernel-builder para construir el kernel en una configuración dada y generar un perfil de compilación; tuxtape-dashboard es una interfaz de consola para revisar y crear parches en vivo basados en parches fuente recibidos de tuxtape-server.
Fuente: opennet.ru