La nécessité de redémarrer retarde la mise en place des correctifs du noyau et vous rend non-conforme

La correction des noyaux est un travail sans fin. Pourquoi ? Parce que Linux est le roi des systèmes d'exploitation. Mais il est très, très compliqué. La branche principale du dépôt git du noyau Linux contient plus de 20 000 000 de lignes de code écrites par l'homme. Cette complexité rend les vulnérabilités inévitables. Il y en a des centaines chaque année, dont certaines sont très graves.

Comment ces vulnérabilités sont-elles combattues ? En appliquant constamment des correctifs au noyau. Les vendeurs de Linux fournissent constamment des mises à jour partielles du noyau. Certains correctifs modifient une seule ligne de code, tandis que d'autres ajoutent des vérifications manquantes ou modifient la structure des données ou les fonctions. 

Le problème est le suivant : à l'heure actuelle, pour 99 % des organisations, l'application de correctifs au noyau ne peut se faire que d'une seule manière : en redémarrant les serveurs. 

Mais les administrateurs système sont (à juste titre) très réticents à effectuer ce redémarrage avant d'y être absolument obligés. Le redémarrage peut être un processus lent et laborieux. Pour minimiser l'impact négatif sur les services aux heures de pointe, il est généralement effectué tard dans la nuit, souvent le week-end. Pendant que les serveurs sont redémarrés, les sites Web qu'ils hébergent tombent en panne ; des messages d'erreur remplacent les beaux sites Web qui fonctionnent. Et même après le redémarrage, il faut parfois un certain temps pour que les performances se stabilisent. Parfois, les environnements ne se remettent jamais correctement en marche après un redémarrage.

À cause de tout cela, les administrateurs système retardent les redémarrages, et donc les correctifs du noyau. Ils ont tendance à attendre que la publication des correctifs s'accumule au point de ne plus pouvoir être ignorée. Ils regroupent les correctifs, ce qui signifie que les plus anciens peuvent être disponibles pendant longtemps avant d'être réellement appliqués. Parfois, le délai entre la publication d'un correctif et son application peut s'étendre sur des semaines, voire des mois. 

Mais ne pas effectuer tous les correctifs du noyau le plus tôt possible, c'est s'exposer à des problèmes. 

• D'abord, c'est dangereux. Dans un environnement open source, dès qu'une vulnérabilité du noyau est connue du public, elle le devient. Cela signifie que les opérateurs Linux sont au courant, mais aussi les mauvais acteurs - les pirates et autres attaquants numériques. Cela est d'autant plus vrai que la communauté de la cybersécurité a pour habitude de combiner l'annonce d'une vulnérabilité avec la publication d'une étude de cas détaillée. Ces études de cas sont très utiles pour les personnes travaillant dans le domaine de la sécurité, mais elles le sont tout autant pour les pirates informatiques.
• Deuxièmement, le fait de retarder l'application de correctifs au noyau expose les organisations à un risque de non-conformité. Les polices d'assurance erreurs et omissions (E&O) de la plupart des entreprises, ainsi que les clauses de leurs contrats SLA, définissent le respect des meilleures pratiques. En général, conformément aux meilleures pratiques du secteur, cette période ne dépasse pas un mois. En raison de la pression exercée par le redémarrage, les organisations prennent souvent (beaucoup) plus d'un mois, ce qui constitue une violation de leurs polices d'assurance. 

Le redémarrage est un mal de tête, c'est pourquoi les gens le repoussent aussi longtemps qu'ils le peuvent. Mais si vous n'avez pas besoin de redémarrer, vous n'avez pas besoin de retarder la mise à jour de votre noyau. La solution ? La mise à jour du noyau en direct, sans redémarrage.

Avec KernelCare, lorsqu'un nouveau patch est disponible pour le noyau actif, l'agent le télécharge et l'applique, immédiatement. Grâce à ce système, les mises à jour du noyau sont appliquées aussi rapidement que possible, ce qui vous protège des mauvais acteurs et vous permet de rester conforme. Cela se fait sans aucun temps d'arrêt du noyau ni aucune perturbation de son fonctionnement. 

Mais chez KernelCare, nous avons 300 000 serveurs qui n'ont pas eu besoin d'être redémarrés pour effectuer la mise à jour de leur noyau depuis quatre ans. KernelCare est simple, s'installe en cinq minutes et fonctionne en arrière-plan sans que personne n'ait à y penser.

Pour savoir pourquoi le redémarrage de vos serveurs vous rend peu sûr et non conforme - et pourquoi ce n'est qu'une question de temps avant que vous ne le découvriez à vos dépens - lisez notre livre blanc complet ici.

Continuer la lecture :

Danger des vulnérabilités du noyau et importance du Live Patching