Viktigheten av Linux Kernel Live Patching i IT

Lesetid: 2 minutter

Betydningen av direkte oppdatering av Linux-kjernen kom til syne med den nylige Dirty COW-sårbarheten. Det skitne sårbarheten for opptrapping av Dirty COW rystet Linux-verdenen - alle kjernene som ble gitt ut de siste ni årene ble berørt, og det som er verre, sårbarheten var triviell å utnytte.

Med utnyttelser som dukker opp i naturen bare få timer etter at sårbarheten ble oppdaget, var systemadministratorer i ferd med å fikse problemet. Som vi foreslo i dette innlegget i forrige uke må du bruke sikkerhetsoppdateringer på systemet ditt så snart som mulig og sørge for at operativsystemet regelmessig oppdateres med de nyeste oppdateringene.

Men dette er ikke en triviell oppgave, spesielt i selskaper med tusenvis av servere som kjører kritiske forretningsapplikasjoner og databaser, da kjerneoppgraderingen krever omstart. I IT-virksomhet betyr det å vente på et vedlikeholdsvindu, gå gjennom risikovurderingsprosessene og forhandle med forskjellige avdelinger om akseptabel tidsramme for vedlikeholdsvinduet basert på kritikken av sårbarheten. Selv det å bare starte om tusenvis av servere etterpå er ikke en lett oppgave, da noen av serverne ikke pleier å komme opp igjen, bli sittende fast i fsck og krever menneskelig inngripen.

Det nødvendige vedlikeholdsvinduet som forårsaker nedetid fører ofte til at oppgraderingen utsettes med måneder, og bringer selskapet ut av samsvar - sårbarheter i gamle kjerner kan skape store sikkerhetshull for en bedrift, og fungere som en invitasjon til å bli hacket.

Nylig fremgang med live kernel patching løser de fleste av disse problemene, da det fjerner behovet for omstart, noe som reduserer nedetid og menneskelig inngripen. Teknikken gjør det mulig å fikse sikkerhetsproblemer i kjernen på farten, noe som sparer tid og penger for IT-avdelingene, samtidig som programvaren overholdes med den beste fremgangsmåten for å kjøre ikke-sårbare, mest oppdaterte versjoner.

Her er hvordan live patching fungerer: leverandører kompilerer akkurat den nødvendige endringen (patch) til binær skjema og injiser det trygt inn i kjernen som kjører. Prosessen er noe komplisert og krever en meget dyktig kjerneutvikler og avansert testoppsett for å utvikle og utgi patcher på en pålitelig måte.

Flere Linux-leverandører tilbyr i dag kjernelappoppdateringstjeneste. Ubuntu leverer oppdateringstjenester for deres nyeste Ubuntu LTS 16.04. SuSE og Oracle Linux tilbyr også oppdatering for Enterprise Linux-tilbudet. I hvert tilfelle er det en tilleggstjeneste som må kjøpes.

Tilbudet jeg synes er det mest allsidige og enterprise-klare kommer fra KernelCare.com, siden den støtter et bredt spekter av kjerner for Linux-distribusjoner, inkludert RHEL, CentOS, Ubuntu, Debian og andre. Løsningen har vært på markedet i to år og støtter ikke bare de nyeste kjernene, men også de eldre kjernene - noe som mangler fra Ubuntu- eller SuSE-tilbud. KernelCare brukes av tusenvis av kunder, og noen av våre Enterprise-kunder bruker KernelCare ganske vellykket. Ingeniørene våre har også testet KernelCare-teknologi og funnet det nyttig for å fikse alle kjente sårbarheter i Linux-kjerner.

RHEL har også en oppdateringstjeneste, men den er ikke tilgjengelig for allmennheten ennå. I tillegg støtter tjenesten deres bare nyeste RHEL 7-kjerner og dekker ikke CentOS-kjerner.

ITSM Incident Management
Antivirus for Linux

START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://blog.comodo.com/it-security/importance-linux-kernel-live-patching/