Einfache Lösung zum Live-Patching des Linux-Kernels
Red-Hat- und Suse-Mitarbeiter arbeiten gemeinsam an einer Live-Patching-Lösung für den Linux-Kernel. Erster Code wurde jetzt veröffentlicht, kann aber weniger Lücken stopfen als Kpatch und kGraft.
Seth Jennings hat Code an die Mailingliste der Linux-Kernel-Entwickler gesendet, mit dem sich viele Sicherheitslücken im Linux-Kernel stopfen lassen, ohne das System neu starten zu müssen. Dieser schlicht als "Live Kernel Patching" bezeichnete Ansatz ist bewusst simpel gehalten. Das Live Patching stellt etwa nicht sicher, dass alter und neuer Code nie parallel laufen. Das ist beim Stopfen mancher Sicherheitslücken aber nicht von Bedeutung, daher sollen sich mit diesem Ansatz rund 90 Prozent der Sicherheitslücken im Kernel beheben lassen, schätzt Jennings.
Mit dieser Rate erreicht Jennings ungefähr 5 Prozent weniger als bei kGraft, das von Suse-Entwicklern stammt, und bei Kpatch, das Red-Hat-Mitarbeiter erfunden haben. Diese beiden Live-Patching-Lösungen für den Linux-Kernel waren im Frühjahr mit nur wenigen Tagen Abstand der Öffentlichkeit präsentiert worden. Der Kernel-Code der beiden ist komplexer, dadurch können sie aber auch Lücken im Betrieb stopfen, die sich nicht durch einfache Änderungen wie das Hinzufügen einer zusätzlichen Bedingungsprüfung beheben lassen.
Beide Lösungen greifen zum eigentlichen Patchen auf dieselben Kernel-Techniken zurück. Dadurch haben sie eine Reihe von Gemeinsamkeiten, unterscheiden sich zugleich aber erheblich vom deutlich älteren Ksplice, das ganz anders vorgeht. Diese in Oracle Linux verfügbare Live-Patching-Lösung entstand als quelloffener Code, dessen Weiterentwicklung aber zum Erliegen kam, als Oracle die hinter Ksplice stehende Firma aufgekauft hat.
Jennings, der auch an Kpatch beteiligt ist, hat seine Lösung entwickelt, nachdem die Entwickler von Kpatch und kGraft im letzten Monat auf der Linux Plumbers Conference (LPC) in Düsseldorf übereingekommen waren, eine gemeinsame Basis für ihre Live-Patching-Lösungen zu schaffen. kGraft-Mitarbeiter haben Jennings Vorgehen begrüßt. Die verschiedenen Entwickler haben auf der Mailingliste der Kernel-Entwickler auch darüber diskutiert, gemeinsam an Userspace-Werkzeugen zur Erzeugung der Live-Patches zu arbeiten. Mittelfristig wollen die Entwickler die jetzt vorgestellte Lösung auch verbessern, damit sie auch komplexere Sicherheitspatches anwenden können, wie es Kpatch und kGraft schon können. Details liefert die Diskussion zu Jennings Code-Einreichung. (thl)
