Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Einfache Lösung zum Live-Patching des Linux-Kernels

11.11.2014

 zur Newsdatenbank home

Seth Jennings hat Code, mit dem sich viele Sicherheitslücken im Linux-Kernel stopfen lassen, ohne das System neu starten zu müssen, an die Mailingliste der Linux-Kernel-Entwickler gesendet.

Dieser bewusst simpel gehaltene Ansatz ist schlicht als "Live Kernel Patching" bezeichnet. Dass etwa alter und neuer Code nie parallel laufen, stellt das Live Patching nicht sicher. Beim Stopfen mancher Sicherheitslücken ist das aber nicht von Bedeutung, daher sollen sich rund 90 Prozent der Sicherheitslücken im Kernel mit diesem Ansatz beheben lassen, schätzt Jennings.

Jennings erreicht mit dieser Rate ungefähr 5 Prozent weniger als bei Kpatch, das Red-Hat-Mitarbeiter erfunden haben, und bei kGraft, das von Suse-Entwicklern stammt. Im Frühjahr waren diese beiden Live-Patching-Lösungen für den Linux-Kernel der Öffentlichkeit mit nur wenigen Tagen Abstand präsentiert worden. Der Kernel-Code der beiden ist komplexer, wodurch sie aber auch Lücken im Betrieb stopfen können, die sich durch einfache Änderungen wie das Hinzufügen einer zusätzlichen Bedingungsprüfung nicht beheben lassen.

Zum eigentlichen Patchen greifen beide Lösungen auf dieselben Kernel-Techniken zurück. Dadurch haben sie eine Reihe von Gemeinsamkeiten, unterscheiden sich aber zugleich erheblich vom deutlich älteren und ganz anders vorgehenden Ksplice. Diese in Oracle Linux verfügbare Live-Patching-Lösung entstand als quelloffener Code, dessen Weiterentwicklung aber, als Oracle die hinter Ksplice stehende Firma aufgekauft hat, zum Erliegen kam.

Jennings, der auch an Kpatch beteiligt ist, hat seine Lösung, nachdem die Entwickler von kGraft und Kpatch im letzten Monat in Düsseldorf auf der Linux Plumbers Conference (LPC) übereingekommen waren, eine gemeinsame Basis für ihre Live-Patching-Lösungen zu schaffen, entwickelt. Jennings Vorgehen wurde von kGraft-Mitarbeitern begrüßt. Auf der Mailingliste der Kernel-Entwickler haben die verschiedenen Entwickler auch darüber diskutiert, an Userspace-Werkzeugen zur Erzeugung der Live-Patches gemeinsam zu schaffen. Die jetzt vorgestellte Lösung wollen die Entwickler mittelfristig auch verbessern, damit sie, wie es Kpatch und kGraft schon können, auch komplexere Sicherheitspatches anwenden können. Die Diskussion zu Jennings Code-Einreichung liefert hier Details.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89