"Kernel Live Patching": SicherheitslĂĽcken im Linux-Kernel jetzt zur Laufzeit korrigierbar
Der derzeit vorbereitete Linux-Kernel 3.20 wird eine Infrastruktur mitbringen, ĂĽber die sich SicherheitslĂĽcken im Betrieb korrigieren lassen. Damit lassen sich Neustarts vermeiden, die bislang beim Stopfen von LĂĽcken erforderlich sind.
(Bild: Kpatch-Video)
Linus-Torvalds hat Erweiterungen in den Linux-Kernel integriert, mit denen sich der Kernel-Code im Betrieb verändern lässt. Mit Hilfe dieses "Kernel Live Patching" (KLP) sollen sich viele Sicherheitslücken im Kernel zur Laufzeit beheben lassen, um die sonst fälligen Neustarts zu vermeiden.
KLP stammt von den Red-Hat- und Suse-Entwicklern, die die vor rund einem Jahr angekündigten Live-Patching-Lösungen Kgraft und Kpatch entwickelt haben. Beide Ansätze waren in den Monaten zuvor vollkommen unabhängig voneinander entstanden.
Bereits bei der Ankündigung des zweiten Ansatzes war allerdings absehbar, dass in den Linux-Kernel keine ähnlichen, aber letztlich konkurrierende Erweiterungen zum Erreichen des gleichen Ziels einziehen würden. Die Entwickler waren daraufhin im Herbst bei der Linux Plumbers Conference 2014 überein gekommen, eine Infrastruktur zum Live-Patching im Kernel zu schaffen, auf die die im Userland angesiedelten Teile von Kgraft und Kpatch fortan zurückgreifen sollen.
Dabei haben sich die KLP-Entwickler von Red Hat und Suse vorerst auf die Kern-Funktion zum Live Patching beschränkt. Mit KLP sollen sich daher nur zirka 90 Prozent der Sicherheitslücken stopfen lassen, die es typischerweise beim Kernel gibt. Über die bislang von Kgraft und Kpatch verwendeten Kernel-Erweiterungen sollten sich hingegen ungefähr 95 Prozent ohne Neustart beheben lassen, wie es auf der Linux Plumbers Conference hieß. Die Entwickler wollen KLP aber noch ausbauen, um in diesen und anderen Bereichen aufzuholen; entsprechende Erweiterungen werden bereits diskutiert und könnten in die übernächste Kernel-Version einziehen.
Durch die Aufnahme in den Hauptentwicklungszweig durch Torvalds sollte KLP im Nachfolger des am Montag dieser Woche veröffentlichten Linux 3.19 verfügbar sein. Die neue Version wird Mitte April erwartet und bekommt vermutlich die Versionsnummer 3.20 – zumindest sofern Torvalds sich nicht doch noch entschließt, bei diesem Kernel den Versionssprung auf 4.0 zu vollziehen, wie er es bereits vor Monaten erwogen hat. (thl)
