A GEICO biztosítótársaság közzétette a TuxTape előzetes kiadását, egy olyan eszközkészletet, amely lehetővé teszi saját infrastruktúra telepítését a Linux kernel élő javításainak létrehozásához, összeállításához és szállításához. Az élő javítások lehetővé teszik a Linux kernel javításainak menet közbeni alkalmazását, a rendszer újraindítása vagy leállítása nélkül. A projekt kódja Rust nyelven íródott, és az Apache 2.0 licenc alatt kerül terjesztésre.
A sebezhetőségi javításokat tartalmazó élő foltokat olyan cégek biztosítják a disztribúcióikhoz, mint a Red Hat, az Oracle, a Canonical és a SUSE, de a javításokkal való munkavégzéshez csak alacsony szintű eszközök vannak nyitva, maguk a javítások pedig zárt ajtók mögött készülnek. A Gentoo és a Debian disztribúciók próbáltak nyílt forráskódú projekteket fejleszteni elivepatch és linux-livepatching, de az elsőt 6 éve felhagyták, a második pedig megrekedt a tesztprototípus elkészítésének szakaszában.
A TuxTape célja, hogy saját rendszert biztosítson az élő javítások létrehozásához és szállításához, amely független a külső gyártóktól, és bármely Linux kernelhez adaptálható, nem csak a disztribúcióspecifikus kernelcsomagokhoz. A TuxTape képes élő javításokat generálni, amelyek kompatibilisek a Red Hat által kifejlesztett kpatch eszközkészlettel (a kpatch mellett további hasonló eszközök közé tartozik a SUSE kGraft, az Oracle Ksplice és az univerzális livepatch). A javítások betölthető kernelmodulokként jönnek létre, amelyek helyettesítik a kernelben lévő függvényeket, és az ftrace alrendszer segítségével átirányítják a modulban lévő új funkciókra.
A TuxTape képes nyomon követni a linux-cve-announce levelezőlistán és a Git tárolóban közzétett Linux kernel sebezhetőségi javításaival kapcsolatos információkat, rangsorolja a biztonsági réseket súlyosságuk szerint, meghatározza a támogatott Linux kernelekre való alkalmazhatóságot, és élő javításokat generál az LTS kernelágak szokásos javításai alapján. A forrásfoltok alkalmazhatóságát a kernel buildek profilozásával értékeljük. A program figyelmen kívül hagyja azokat a javításokat, amelyek sebezhetőségét nem érintik a cél kernelt.
A TuxTape tartalmaz egy rendszert az új kernel sebezhetőségeinek nyomon követésére, egy javítást és sebezhetőségi adatbázis-készítőt, egy kiszolgálót a metaadatok tárolására, egy kernel build diszpécser rendszert, egy kernelkészítőt, egy javítás generátort, egy javítás archívumot, egy klienst a végállomások javításainak fogadására, valamint egy interaktív felületet az élő javítások generálásának kezelésére.
A fejlesztés a kísérleti prototípus szakaszában tart. A kezdeti teszteléshez a következőket javasoljuk: tuxtape-cve-parser a sebezhetőségekkel kapcsolatos információk elemzéséhez és egy adatbázis felépítéséhez javításokkal; szmokingszalag-szerver gRPC interfésszel a javítások generálására szolgáló szolgáltatásokhoz; tuxtape-kernel-builder a kernel adott konfigurációban való felépítéséhez és egy összeállítási profil létrehozásához; A tuxtape-dashboard egy konzolfelület a tuxtape-servertől kapott forrásfoltok alapján élő javítások áttekintésére és létrehozására.
Forrás: opennet.ru
