Canonical Livepatch es el servicio y software que permite a las empresas parchear rápidamente las vulnerabilidades en los kernels de Ubuntu Linux. Livepatch ofrece un servicio ininterrumpido y al mismo tiempo reduce los simulacros de incendio para las vulnerabilidades del kernel con una gravedad alta y crítica. Es una tecnología compleja y los detalles pueden ser confusos, por lo que en esta publicación ofrecemos una introducción de alto nivel para parchear en vivo el kernel de Ubuntu Linux y los procesos involucrados.
Introducción a Livepatch
Al revisar las principales violaciones de datos de ciberseguridad a través de servicios web (por ejemplo, del Informe de violación de datos de Verizon 2021), uno debe encontrar que después de los ataques basados en credenciales, la explotación de vulnerabilidades es el principal vector de ataque. Según el mismo informe, solo una cuarta parte de las empresas escanearon las vulnerabilidades del parche en menos de dos meses después de su lanzamiento, lo que sugiere que las empresas generalmente no son proactivas y consistentes en el parcheo de vulnerabilidades. Y no sin razón; La reparación de vulnerabilidades a través de trabajo no planificado es un desafío, ya que quita el foco de la empresa al crear ventanas de mantenimiento no planificadas en las que aplicar parches y reiniciar sistemas mientras los clientes o usuarios se enfrentan a un servicio no disponible.
Al mismo tiempo, las amenazas no desaparecen; Las vulnerabilidades críticas y de alta gravedad pueden ocurrir en cualquier momento y revelar datos o servicios potencialmente importantes. Los datos de vulnerabilidad de Canonical muestran que el 40% de las vulnerabilidades de gravedad alta y crítica afectan al kernel de Linux, el más alto de cualquier otro paquete. El objetivo de Canonical Livepatch es corregir esta ventana de vulnerabilidad para los sistemas Ubuntu de forma rápida y sin problemas. Elimina las ventanas de mantenimiento no planificadas para las vulnerabilidades críticas y de alto nivel del kernel al parchear el kernel de Linux mientras el sistema está en ejecución.
¿Qué sucede si se detecta una vulnerabilidad del kernel?
En particular, si Canonical detecta una vulnerabilidad importante o crítica en el kernel de Linux, creamos un parche en vivo que corrige la vulnerabilidad. Una vez que el parche en vivo está disponible, se prueba en la granja de servidores internos de Canonical y luego se actualiza gradualmente a una serie de niveles de prueba para garantizar que cada parche en vivo publicado se haya probado en sistemas en vivo durante un tiempo suficiente. Una vez que se lanza el parche, se emite un Aviso de seguridad de Livepatch y los sistemas que habilitan Canonical Livepatch Client recibirán y aplicarán el parche a través de un canal autenticado.
¿Cómo funciona el parcheo en vivo del kernel?
Hay muchos tipos de vulnerabilidades y muchas razones para ellas, como un error lógico o una falta de validación en un pequeño fragmento de código y otras. En el nivel superior, el parche en vivo proporcionará un nuevo código de kernel para reemplazar el vulnerable y actualizar el resto del kernel para usar el nuevo código. El siguiente diagrama muestra cómo se corrige una vulnerabilidad del kernel mediante Canonical Livepatch.
La descripción simplificada anterior muestra el principio, pero también proporciona información sobre por qué algunas vulnerabilidades que dependen de interacciones de código muy complejas no se pueden parchear en vivo. Si una vulnerabilidad del kernel no se puede parchear en vivo, se emite una alerta de seguridad de parche en vivo, que le solicita que aplique las actualizaciones pendientes del kernel y reinicie.
¿Cómo puedo acceder a Canonical Livepatch?
Canonical Livepatch está disponible a través de Ubuntu Advantage y Ubuntu Pro para organizaciones y clientes que deseen aprovechar las funciones de seguridad de Canonical. Dado que la misión de Ubuntu es llevar software gratuito a la audiencia más amplia posible, permitimos que los desarrolladores y las personas accedan a Canonical Livepatch a través de la suscripción gratuita. La suscripción gratuita permite hasta 3 computadoras y hasta 50 para los miembros de la comunidad Ubuntu.
[Get Ubuntu Advantage] [Get a Free subscription]
Cómo activar Canonical Livepatch
Canonical Livepatch se puede activar en dos pasos; Primero, obtenga su token de suscripción a través del portal Ubuntu Advantage. El primer paso es necesario para los usuarios de suscripción gratuita y Ubuntu Advantage, pero no para Ubuntu Pro. Luego, debe instalar y activar el cliente Canonical Livepatch. Los pasos son:
$ sudo ua attach [TOKEN]
$ sudo ua enable livepatch
Conclusiones
El servicio Canonical Livepatch reduce su trabajo no planificado y le permite planificar sus ventanas de mantenimiento. Use parches en vivo y brinde a sus usuarios un servicio ininterrumpido mediante la aplicación de actualizaciones del kernel con una gravedad alta y crítica sin reiniciar.