Ubuntu

Livepatching del kernel de Linux

Livepatching del kernel de Linux

Canonical livepatch es el servicio y el software que permite a las organizaciones parchear rápidamente las vulnerabilidades en los kernels de Ubuntu Linux. Livepatch proporciona un servicio ininterrumpido al tiempo que reduce los simulacros de incendio durante las vulnerabilidades del kernel de gravedad alta y crítica. Es una tecnología compleja y los detalles pueden ser confusos, por lo que en esta publicación proporcionamos una introducción de alto nivel al parche en vivo del kernel de Ubuntu Linux y los procesos que lo rodean.

Introducción a Livepatch

Al revisar las principales violaciones de datos de seguridad cibernética a través de servicios web (por ejemplo, desde el Informe de investigaciones de violación de datos de Verizon 2021), uno no puede dejar de notar que después de los ataques basados ​​en credenciales, la explotación de vulnerabilidades es el principal vector de ataque. Según el mismo informe, solo una cuarta parte de las organizaciones escaneadas parchean vulnerabilidades en menos de dos meses después de ser públicas, algo que indica que las organizaciones no son generalmente proactivas y consistentes en el parche de vulnerabilidades. Y eso no sin una razón; Abordar las vulnerabilidades a través del trabajo no planificado es un desafío, ya que quita el enfoque de la organización al crear ventanas de mantenimiento no planificadas donde se aplican parches y se reinician los sistemas, mientras sus clientes o usuarios enfrentan un servicio no disponible.

Al mismo tiempo, las amenazas no desaparecen; Las vulnerabilidades críticas y de alta gravedad pueden aparecer en momentos arbitrarios y potencialmente exponer datos o servicios importantes. Los datos de vulnerabilidad de Canonical muestran que el 40% de las vulnerabilidades de gravedad alta y crítica afectan al kernel de Linux, el más alto de cualquier otro paquete. Abordar esta ventana de vulnerabilidad de forma rápida y sin problemas para los sistemas Ubuntu, es el objetivo de Canonical Livepatch. Elimina la necesidad de ventanas de mantenimiento no planificadas para vulnerabilidades del kernel críticas y de alta gravedad, al parchear el kernel de Linux mientras se ejecuta el sistema.

¿Qué sucede cuando se detecta una vulnerabilidad del kernel?

En particular, cuando Canonical detecta una vulnerabilidad alta o crítica en el kernel de Linux, crearemos un parche en vivo que aborde la vulnerabilidad. Una vez que el parche en vivo está disponible, se prueba en la granja de servidores internos de Canonical y luego se promueve gradualmente a una serie de niveles de prueba que garantizan que cualquier parche en vivo publicado se haya probado el tiempo suficiente en sistemas en vivo. Una vez que se lanza el parche, se emite un Aviso de seguridad de Livepatch y los sistemas que habilitan el cliente canonical-livepatch recibirán el parche a través de un canal autenticado y lo aplicarán.

¿Cómo funciona el parche en vivo del kernel?

Hay muchos tipos de vulnerabilidades y muchas razones detrás de ellas, como un error lógico o una verificación faltante en una pequeña parte del código y otras. En el nivel alto, el livepatch proporcionará un nuevo código de kernel que reemplazará al vulnerable y actualizará el resto del kernel para usar el nuevo código. El siguiente diagrama muestra cómo se repara una vulnerabilidad del kernel mediante Canonical Livepatch.

La descripción simplista anterior muestra el principio, pero también da pistas sobre por qué algunas vulnerabilidades que dependen de interacciones de código muy complejas no se pueden parchear en vivo. Cuando una vulnerabilidad del kernel no se puede parchear en vivo, se emite un Aviso de seguridad de Livepatch que aconseja aplicar cualquier actualización pendiente del kernel y reiniciar.

¿Cómo puedo acceder al parche en vivo de Canonical?

El parche en vivo de Canonical está disponible a través de Ubuntu Advantage y Ubuntu Pro para organizaciones y clientes que deseesn aprovechar las funciones de seguridad de Canonical. Más allá de eso, dado que la misión de Ubuntu es llevar software gratuito a la audiencia más amplia, permitimos que los desarrolladores y las personas accedan a Canonical Livepatch a través de la suscripción gratuita. La suscripción gratuita permite hasta 3 máquinas y hasta 50 para los miembros de la comunidad de Ubuntu.

[Get Ubuntu Advantage] [Get a Free subscription]

Cómo habilitar Canonical Livepatch

El parche en vivo canónico se puede habilitar en dos pasos; Primero obtenga su token de suscripción a través del portal Ubuntu Advantage. El primer paso es necesario tanto para la suscripción gratuita como para los usuarios de Ubuntu Advantage, pero no es necesario en Ubuntu Pro. Luego, deberá instalar el cliente canonical-livepatch y habilitarlo. Los pasos son:

$ sudo ua attach [TOKEN]

$ sudo ua enable livepatch

Conclusiones

El servicio Canonical Livepatch reduce su trabajo no planificado y le permite programar sus ventanas de mantenimiento. Aproveche el parche en vivo y brinde un servicio ininterrumpido a sus usuarios mediante la aplicación de actualizaciones del kernel de gravedad alta y crítica sin reiniciar.

Leave a Comment

You may also like

Más