La scorsa settimana abbiamo dedicato un articolo al nuovo servizio messo a disposizione degli utenti da parte di Canonical, il Kernel Live Patching.

Il Kernel Live Patching consiste nella possibilità, tramite il caricamento di moduli del kernel, di fare patching “live” del kernel stesso, senza necessità di riavviare la macchina. Il servizio è a disposizione degli utilizzatori di Ubuntu 16.04 LTS con a bordo il kernel 4.4 LTS.

Prima patch

canonical live patch kernel

Nella giornata di ieri è stata rilasciata la prima patch di sicurezza da parte di Luis Henriques, patch che ha sistemato due importanti bug presenti sia in Ubuntu che nelle distro derivate.

La prima falla chiusa è la CVE-2016-5195  anche nota come “Dirty COW bug” la quale permetteva ad un malintenzionato (local attacker) di ottenere i privilegi di amministratore senza averne il diritto.

La seconda vulnerabilità (CVE-2016-7039 e CVE-2016-8666),  scoperta da  Vladimír Beneš , permetteva ad un hacker, da remoto, di far crashare il sistema.

Vi ricordo che è disponibile la versione 13.3 del servizio di live patching, gratuito per un massimo di  tre sistemi. Per maggiori informazioni vi rimando all’annuncio ufficiale della patch.

sharing-caring-1-1

Vi ricordiamo che seguirci è molto semplice: tramite la pagina Facebook ufficiale, tramite il nostro canale notizie Telegram e la nostra pagina Google Plus.

Qui potrete trovare le varie notizie da noi riportate sul blog. È possibile, inoltre, commentare, condividere e creare spunti di discussione inerenti l’argomento.

  • Fenix

    Ciao ragazzi. Una curiosità. Ma questo vale per gli aggiornamenti automatici di sistema. Cioè dopo aver aggiornato il kernel non serve più riavvi@re?

    • vale per le patch che si applicano al kernel.
      se tu vuoi applicare una patch ora puoi farlo a caldo senza dover riavviare (funzionalità introdotta nel kernel 4.0)

      • Fenix

        Capito. Garziper la risposta. Ma perché non adottare la stessa politica per gli aggiornamenti di sistema del kernel stesso?

        • credo che l’aggiornamento (per esempio dalla versione 4.8 alla 4.9) sia una cosa troppo complessa perchè non vengono solo fatti dei fix, ma vengono aggiunte nuove funzionalità viene sostituito il vecchio codice assembly con codice più ad alto livello, vengono rimosse parti di codice obsoleto per essere riscritte, insomma credo che un aggiornamento vero e proprio è troppo complesso da gestire a modi patch da installare a caldo.
          ma non lo so, la mia è solo una supposizione.

        • user1

          Il live patching serve ad evitare i downtime sui sistemi mission critial quando una vulnerabilità importante viene scoperta nel kernel.
          Guardando al suo funzionamento vedrai che è un po’ come mettere un bybass aorto-coronarico 🙂 h t t p s : / / www . youtube . com / watch?v=juyQ5TsJRTA
          Non è certo qualcosa che si può usare per aggiornare il kernel ad una versione più recente cosa che negli ambienti di produzione non si fa in ogni caso. A casa non ti serve a nulla, installi il kernel aggiornato e riavvii.

      • alex

        Infatti è una possibilità molto importante su di un server, per evitare di doverlo per forza spegnere e poter gestire meglio i tempi di manutenzione (nel senso che non devi per forza subito fare il lavoro a seguito di qualche bug critico ma si può rattoppare con il live patch e aspettare poi i momenti già previsti per farlo), ma non credo per un normale utente domestico visto che tanto il pc prima o poi lo spegni 🙂

        Non so però se un kernel con una live patch è poi identico ad un kernel già patchato, ma non credo… immagino che poi alla prima occasione convenga comunque aggiornare direttamente il kernel

  • xan

    Alla faccia di Windows che ti chiede di riavviare per installare un aggiornamento di notepad.

    Siamo 10 anni avanti su questi aspetti

No more articles