Vakuutusyhtiö GEICO on julkaissut alustavan julkaisun TuxTape-työkalusta, jonka avulla voit ottaa käyttöön oman infrastruktuurisi Linux-ytimen live-korjausten luomiseen, kokoamiseen ja toimittamiseen. Live-korjauspäivitykset mahdollistavat korjausten tekemisen Linux-ytimeen lennossa ilman uudelleenkäynnistystä tai järjestelmän pysäyttämistä. Projektikoodi on kirjoitettu Rust-kielellä ja sitä jaetaan Apache 2.0 -lisenssillä.
Red Hat, Oracle, Canonical ja SUSE kaltaiset yritykset tarjoavat haavoittuvuuskorjauksilla varustettuja live-korjaustiedostoja, mutta vain matalan tason työkalut korjaustiedostojen kanssa työskentelemiseen ovat avoinna, ja itse korjaukset luodaan suljettujen ovien takana. Gentoo- ja Debian-jakeluissa yritettiin kehittää avoimia projekteja elivepatch ja linux-livepatching, mutta ensimmäinen on ollut hylätty 6 vuotta ja toinen on pysähtynyt testiprototyypin luomisvaiheeseen.
TuxTape pyrkii tarjoamaan oman järjestelmänsä live-korjausten luomiseen ja toimittamiseen, joka on riippumaton kolmannen osapuolen toimittajista ja joka on mukautettavissa mihin tahansa Linux-ytimeen, ei vain jakelukohtaisiin ydinpaketteihin. TuxTape voi luoda reaaliaikaisia korjaustiedostoja, jotka ovat yhteensopivia Red Hatin kehittämän kpatch-työkalupaketin kanssa (muita vastaavia työkaluja kpatchin lisäksi ovat kGraft SUSE:sta, Ksplice Oraclesta ja universaali livepatch). Korjauspäivitykset muodostetaan ladattavina ydinmoduuleina, jotka korvaavat ytimen toimintoja ja käyttävät ftrace-alijärjestelmää ohjaamaan moduuliin sisältyviin uusiin toimintoihin.
TuxTape voi seurata tietoja Linux-ytimen haavoittuvuuksien korjauksista, jotka on julkaistu linux-cve-announce-postituslistalla ja Git-arkistossa, luokitella haavoittuvuudet vakavuuden mukaan, määrittää soveltuvuuden tuetuille Linux-ytimille ja luoda reaaliaikaisia korjaustiedostoja LTS-ytimen haarojen tavallisiin korjauksiin. Lähdekorjausten soveltuvuus arvioidaan profiloimalla ytimen koontiversiot. Korjaukset, joissa on haavoittuvuuksia, jotka eivät vaikuta kohdeytimeen, ohitetaan.
TuxTape sisältää järjestelmän uusien ytimen haavoittuvuuksien seurantaan, korjaustiedoston ja haavoittuvuustietokannan rakennustyökalun, palvelimen metatietojen tallentamiseen, ytimen rakentamisen lähetysjärjestelmän, ytimen rakentajan, korjaustiedostojen generaattorin, korjaustiedostoarkiston, asiakkaan korjaustiedostojen vastaanottamiseen loppukoneille ja interaktiivisen käyttöliittymän reaaliaikaisten korjaustiedostojen luomisen hallintaan.
Kehitys on kokeellisessa prototyyppivaiheessa. Ensitestaukseen suositellaan seuraavia: tuxtape-cve-parser haavoittuvuuksia koskevien tietojen jäsentämiseen ja tietokannan rakentamiseen korjaustiedostoineen; tuxtape-palvelin, jossa on toteutettu gRPC-rajapinta korjaustiedostojen luontipalveluita varten; tuxtape-kernel-builder ytimen rakentamiseen tietyssä kokoonpanossa ja rakennusprofiilin luomiseen; tuxtape-dashboard on konsolikäyttöliittymä, jolla voit tarkastella ja luoda live-korjauksia tuxtape-serveriltä saatujen lähdekorjausten perusteella.
Lähde: opennet.ru
