Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Überprüfen des Status von KernelCare Enterprise-Patches
Joao Correia
22. September 2022. Technischer Evangelist
TuxCare's KernelCare Enterprise bietet Live-Patches für verschiedene Linux-Distributionen für Unternehmen. Bei der Vorbereitung von Patches für jedes neue CVE müssen die besonderen Eigenheiten und Konfigurationen jeder dieser Distributionen berücksichtigt werden, so dass der Veröffentlichungszeitpunkt für jede Distribution leicht unterschiedlich sein kann. Schauen wir uns den gesamten Prozess an und wie Sie die aktuelle Entwicklung mitverfolgen können.
Die TL;DR-Version:
Hier finden Sie die unterstützten Kernel und Distributionen: https://patches.kernelcare.com/
Prüfen Sie hier den spezifischen CVE-Status: https://cve.tuxcare.com/live
Wie kann ich feststellen, ob KernelCare Enterprise einen bestimmten Kernel einer bestimmten Distribution unterstützt?
Die Informationen über unterstützte Distributionen und Kernel-Versionen auf jeder dieser Distributionen werden hier angezeigt: https://patches.kernelcare.com/
Diese Informationen werden automatisch aus der Build-Pipeline kompiliert, die immer die aktuellsten Informationen enthält.
Wenn neue Kernel-Versionen in die Distribution eingeführt werden, werden wir sie in die Liste der unterstützten Versionen aufnehmen, sobald alle Automatisierungswerkzeuge, die die Build-Infrastruktur unterstützen, getestet und verifiziert sind, dass sie diese korrekt unterstützen.
Dies ist ein schneller Prozess, in der Regel ein paar Tage, aber manchmal haben neue Kernel-Versionen neue Konfigurationsoptionen oder andere Eigenheiten, die eine umfangreichere Arbeit zur Unterstützung erfordern, und das wird etwas mehr Zeit in Anspruch nehmen, bevor diese aufgelistet werden.
Wie ist der aktuelle Status für ein bestimmtes CVE? Wann werden die Patches für sie veröffentlicht?
Die aktuellen Informationen zu spezifischen CVE-Patches finden Sie unter https://cve.tuxcare.com/live .
Ein CVE-Status kann einer der folgenden sein:
- In Arbeit
Die Entwicklungsarbeit ist im Gange. Wie lange dieser Prozess dauert, hängt von der Komplexität des Patches und der Schwierigkeit ab, das Sicherheitsproblem so zu reproduzieren, dass die Testsuite korrekt erkennt, ob die Korrektur korrekt funktioniert (oder nicht).
- Bereit zur Veröffentlichung
Die gesamte Entwicklungsarbeit und die Tests sind abgeschlossen und werden für die Veröffentlichung verpackt. Dies ist der letzte Schritt, bevor der Patch tatsächlich zur Verfügung gestellt wird.
- Geplant
Das CVE wurde analysiert und in den Entwicklungszyklus aufgenommen. Einige CVEs sind so schwer auszunutzen oder erfordern eine so komplexe Reihe von Operationen, dass sie als Übungen und nicht als Sicherheitsbedrohungen angesehen werden.
- Wird nicht behoben
Die CVE wurde analysiert und es wurde festgestellt, dass sie für die unterstützten Distributionen irrelevant ist. Sie erfordert beispielsweise Kernel-Parameter, die nicht mit der Distribution ausgeliefert werden, oder sie betrifft nur einen seltenen Teil der Hardware, der nicht weit verbreitet ist, oder es kann kein praktikabler Exploit erstellt werden. Zum Beispiel, wenn der Exploit eine unverschämt hohe Menge an Rechenressourcen benötigt, um die Schwachstelle auszulösen.
Nur weil ein CVE zu einem bestimmten Zeitpunkt als "Wird nicht behoben" markiert ist, kann dies bei Bekanntwerden neuer Informationen überprüft werden.
Wenn man sich die verschiedenen CVE-Status für mehrere Distributionen ansieht, kann man außerdem feststellen, dass für einige Distributionen früher als für andere Patches veröffentlicht werden. Dies liegt daran, dass die verschiedenen Kernel, die mit jeder Distribution ausgeliefert werden, unterschiedliche Optionen definiert haben, die wiederum unterschiedliche Wechselwirkungen mit der Schwachstelle verursachen und möglicherweise unterschiedliche Ansätze erfordern, um sie richtig zu beheben.
