LibraryCare

Neustartlose Sicherheitsupdates für Shared Libraries
OpenSSL und Glibc stellen weiterhin Sicherheitsprobleme auf Linux-Systemen dar. Ab 2020 waren Angriffe auf OpenSSL verantwortlich für 71% von Schwachstellen, die in der Technologiebranche anvisiert werden. Im Jahr 2020, Glibc wurde festgestellt Speicheroperationen so behandeln, dass Angreifer sie zum Absturz bringen und bösartigen Code ausführen können.
71

% von Sicherheitslücken, die in der Technologiebranche anvisiert werden.

Das Patchen von Bibliotheken durch Server-Neustarts ist problematisch.

Schwachstellen wie diese sind der Grund, warum fast jeder fünfte Angriff Ziel OpenSSLaber es sind nicht nur OpenSSL und Glibc, die Linux-Server in Gefahr bringen. Libarchive, eine Kompressionsbibliothek das standardmäßig in einer großen Anzahl von Linux-Distributionen und Software-Dienstprogrammen enthalten ist, enthält eine Sicherheitslücke, die es Angreifern ermöglicht, Code auf entfernten Servern auszuführen.

Diese Art von Sicherheitslücken in Bibliotheken werden immer häufiger entdeckt: Von 2017 bis 2019 werden sie fast verdoppelte sich die Anzahl. Sie werden auch immer weiter verbreitet: Im Jahr 2020 werden kritische Sicherheitslücken, bekannt als Restwelligkeit20 wurden entdeckt in einer weit verbreiteten TCP/IP-Bibliothek, wodurch Hunderte Millionen mit dem Internet verbundener Geräte angreifbar wurden.

Die übliche Art und Weise, wie Unternehmen mit Bibliotheksschwachstellen umgehen, ist der Neustart ihrer Server. Admins wissen oft nicht, welche Dienste welche Bibliotheken verwenden, also starten sie einfach den gesamten Server neu, um alle zu aktualisieren. Diese Reboots bringen jedoch ernsthafte Probleme mit sich:

Server-Ausfallzeit

Wenn Server ausgefallen sind, fallen Websites aus und zeigen den Besuchern nur Fehlermeldungen an. Nach einem Neustart kann es einige Zeit dauern, bis sich die Serverleistung stabilisiert hat, und gelegentlich fahren die Server nach einem Neustart nicht mehr richtig hoch.

Fenster der Verwundbarkeit

Da ein Neustart mühsam und problematisch ist, führen Unternehmen ihn oft nur in regelmäßigen Abständen durch und lassen ihre Server für Angriffe offen. Selbst wenn sie alle 30 Tage einen Neustart durchführen, um die Sicherheitsstandards einzuhalten, können ihre Server zwei Wochen oder länger angreifbar sein.

Selbst wenn sie manuell gepatcht werden, können gemeinsam genutzte Bibliotheken ohne einen Neustart Sicherheitslücken enthalten. Wenn Bibliotheken auf der Festplatte aktualisiert werden, können alte ungepatchte Dateien im Speicher eines Servers bestehen bleiben. Hinzu kommt, dass Schwachstellen-Scanner diese alten ungepatchten Bibliotheksdateien im Speicher nicht erkennen.

X

Kontakt Verkaufsformular

    LibraryCare detects & Vulnerable shared libraries in-memory without disrupting the applications using them

    LibraryCare patcht freigegebene Bibliotheken ohne Neustart.

    Genau wie KernelCare Enterprise patcht auch LibraryCare den Linux-Kernel. Es unterscheidet sich von KernelCare darin, dass es auch Bibliotheken patcht. 

     

    LibraryCare patcht gemeinsam genutzte Bibliotheken und erkennt bibliotheksbezogene Sicherheitslücken. Es patcht sogar Bibliotheksdateien im Speicher, und das alles auf eine Weise, die Neustarts unnötig macht.

     

    Im Moment patcht LibraryCare die Bibliotheken glibc und OpenSSL, da diese am häufigsten angegriffen werden. In Zukunft wird es weitere gemeinsam genutzte Bibliotheken patchen, z. B. solche, die mit PHP und Python zusammenhängen.

    Es verwendet neue und anspruchsvolle
    Patching-Technologie.

    Um gemeinsam genutzte Bibliotheken auf Webservern zu patchen, verwendet LibraryCare
    ein innovatives vierstufiges Patching-Verfahren:

    Der Patch wird vom KernelCare-Team erstellt

    • Der Quellcode einer Bibliothek - sowohl der ursprüngliche als auch der gepatchte - wird in Assembler übersetzt.
    • Diese Dateien werden verglichen, und der neue gepatchte Code wird in einen neuen Abschnitt derselben ELF-Datei eingefügt.
    • Nachdem der Code kompiliert und gelinkt wurde, wird der Patch aus den resultierenden Binärdateien extrahiert.
    • Die Patch-Dateien werden aus den ELF-Abschnitten extrahiert.

    Der Patch wird auf den Patch-Server hochgeladen

    • Die Binärdateien werden als ein einziger Patch behandelt, der dann auf einen speziellen LibraryCare+ Patch-Server hochgeladen wird.
    • Der Patch-Server verteilt dann den Patch an die Server der Kunden.

    Der Patch wird auf den lokalen Agenten heruntergeladen

    • Ein Agentenprogramm auf jedem lokalen Server, lcarectl, "spricht" mit dem Patch-Server, der auf dem lokalen Server nach bekannten Bibliotheken sucht.
    • Das Agentenprogramm lädt dann den erforderlichen Patch für jede auf dem lokalen Server vorhandene Bibliothek herunter.

    Der Patch wird auf den lokalen Server angewendet

    • Mit Hilfe der Linux-APIs wird Speicher in der Nähe einer Bibliothek allokiert und der Patch wird in diese kopiert.
    • Nachdem sichergestellt wurde, dass keine Threads den alten Bibliothekscode ausführen, leitet das Agentenprogramm die Aufrufe von altem Code über unbedingte Sprünge auf die neuen gepatchten Versionen um.

    Sobald dieser Patching-Prozess abgeschlossen ist, sind die Bibliotheken des lokalen Servers vollständig gegen alle bekannten Angriffe geschützt. 

    Sehen Sie aus erster Hand, wie LibraryCare
    hält Server sicher.

    Gemeinsam genutzte Softwarebibliotheken bergen schwerwiegende Sicherheitslücken, die behoben werden müssen. Viele dieser Schwachstellen müssen durch Patches behoben werden. Herkömmliche Patching-Methoden erfordern jedoch einen Neustart des Servers, was wiederum eigene Probleme mit sich bringt. LibraryCare+ bietet durch das Patchen von gemeinsam genutzten Bibliotheken ohne Neustart eine bessere Möglichkeit, sowohl Kernel als auch Bibliotheken gepatcht zu halten.

    LibraryCare setzt eine neue und ausgefeilte Patching-Technologie ein, die aktuelle und neu auftretende Sicherheitslücken in OpenSSL, glibc, und bald auch viele andere Bibliotheken.

    Um mehr darüber zu erfahren und es in Ihrer Umgebung zu evaluieren, können Sie eine kostenlose Proof-of-Concept

    Ihre Vergleichsliste

    Vergleichen Sie
    ALLE ENTFERNEN
    VERGLEICHEN
    0