LibraryCare

Mises à jour de sécurité sans redémarrage pour les bibliothèques partagées
OpenSSL et Glibc continuent de présenter des problèmes de sécurité sur les systèmes Linux. En 2020, les attaques contre OpenSSL représentaient 71% de vulnérabilités ciblées dans l'industrie technologique. En 2020, Glibc s'est avéré gère les opérations de mémoire d'une manière que les attaquants pourraient utiliser pour le faire planter et exécuter du code malveillant.
71

% de vulnérabilités ciblées dans l'industrie technologique.

La mise à jour des bibliothèques par le redémarrage du serveur est problématique.

Des vulnérabilités comme celle-ci expliquent pourquoi près d'une attaque sur cinq cible OpenSSLmais ce ne sont pas seulement OpenSSL et Glibc qui mettent les serveurs Linux en danger. Libarchive, une bibliothèque de compression inclus par défaut dans un grand nombre de distributions Linux et d'utilitaires logiciels, contient une vulnérabilité qui peut permettre aux attaquants d'exécuter du code sur des serveurs distants.

Ces types de vulnérabilités de bibliothèque sont découverts à un rythme croissant : de 2017 à 2019, ils... ont presque doublé en nombre. Elles sont également de plus en plus répandues : En 2020, les vulnérabilités critiques connues sous le nom de Ripple20 ont été découverts dans une bibliothèque TCP/IP largement utilisée, exposant des centaines de millions de dispositifs connectés à Internet à des attaques.

La façon habituelle dont les entreprises traitent les vulnérabilités des bibliothèques est de redémarrer leurs serveurs. Souvent, les administrateurs ne savent pas quels services utilisent quelles bibliothèques, alors ils redémarrent tout le serveur pour les mettre à jour. Ces redémarrages posent toutefois de sérieux problèmes :

Temps d'arrêt du serveur

Lorsque les serveurs sont en panne, les sites web ne fonctionnent pas et n'affichent que des messages d'erreur aux visiteurs. Après un redémarrage, il faut parfois un certain temps pour que les performances du serveur se stabilisent, et il arrive que les serveurs ne se remettent pas correctement en marche après un redémarrage.

Fenêtres de vulnérabilité

Le redémarrage étant laborieux et problématique, les entreprises ne le font souvent qu'à intervalles réguliers, ce qui laisse leurs serveurs ouverts aux attaques. Même si elles redémarrent tous les 30 jours pour se conformer aux normes de sécurité, leurs serveurs peuvent être vulnérables pendant deux semaines ou plus.

Même si elles sont corrigées manuellement, sans redémarrage, les bibliothèques partagées peuvent contenir des vulnérabilités. Lorsque les bibliothèques sont mises à jour sur le disque, les anciens fichiers non corrigés peuvent persister dans la mémoire d'un serveur. De plus, les scanners de vulnérabilité ne détectent pas ces anciens fichiers de bibliothèque non corrigés en mémoire.

X

Formulaire de contact des ventes

    LibraryCare detects & Vulnerable shared libraries in-memory without disrupting the applications using them

    LibraryCare corrige les bibliothèques partagées sans redémarrage.

    Tout comme KernelCare Enterprise, LibraryCare corrige le noyau Linux. Il diffère de KernelCare en ce qu'il corrige également les bibliothèques. 

     

    LibraryCare corrige les bibliothèques partagées et détecte les vulnérabilités liées aux bibliothèques. Il corrige même les fichiers de bibliothèque en mémoire, et fait tout cela d'une manière qui rend les redémarrages inutiles.

     

    Pour l'instant, LibraryCare corrige les bibliothèques glibc et OpenSSL, car ce sont celles qui sont le plus souvent attaquées. À l'avenir, il patchera d'autres bibliothèques partagées, telles que celles liées à PHP et Python.

    Il utilise des méthodes nouvelles et sophistiquées
    la technologie des correctifs.

    Pour patcher les bibliothèques partagées sur les serveurs web, LibraryCare emploie
    un procédé innovant de rapiéçage en quatre étapes :

    Le patch est créé par l'équipe KernelCare

    • Le code source d'une bibliothèque, qu'il soit original ou corrigé, est traduit en langage assembleur.
    • Ces fichiers sont comparés, et le nouveau code corrigé est placé dans une nouvelle section du même fichier ELF.
    • Une fois le code compilé et lié, le patch est extrait des binaires résultants.
    • Les fichiers patch sont extraits des sections ELF.

    Le patch est téléchargé sur le serveur de patchs

    • Les fichiers binaires sont traités comme un seul patch, qui est ensuite téléchargé vers un serveur de patchs dédié à LibraryCare+.
    • Le serveur de correctifs distribue ensuite le correctif aux serveurs des clients.

    Le patch est téléchargé sur l'agent local

    • Un programme agent sur chaque serveur local, lcarectl, "parle" au serveur de correctifs, qui recherche les bibliothèques connues sur le serveur local.
    • Le programme de l'agent télécharge alors le patch nécessaire pour chaque bibliothèque présente sur le serveur local.

    Le patch est appliqué au serveur local

    • En utilisant les API Linux, la mémoire proche d'une bibliothèque est allouée, et le patch y est copié.
    • Après s'être assuré qu'aucun thread n'exécute l'ancien code de la bibliothèque, le programme de l'agent réachemine les appels de l'ancien code vers les nouvelles versions corrigées par des sauts inconditionnels.

    Une fois ce processus de correction terminé, les bibliothèques du serveur local sont entièrement protégées contre toutes les attaques connues. 

    Voyez de première main comment LibraryCare
    assure la sécurité des serveurs.

    Les bibliothèques logicielles partagées présentent de graves vulnérabilités en matière de sécurité qui doivent être corrigées. La plupart de ces vulnérabilités doivent être corrigées par l'application de correctifs, mais les méthodes traditionnelles de correction impliquent des redémarrages du serveur qui présentent des problèmes en soi. LibraryCare+, en appliquant des correctifs aux bibliothèques partagées sans redémarrage, offre une meilleure façon de maintenir les noyaux et les bibliothèques correctifs.

    LibraryCare utilise une technologie de correction nouvelle et sophistiquée qui permet de remédier aux vulnérabilités actuelles et émergentes dans les domaines suivants OpenSSL, glibcet bientôt de nombreuses autres bibliothèques.

    Pour en savoir plus et l'évaluer dans votre environnement à l'aide d'un test gratuit, cliquez ici. preuve de concept

    Votre liste de comparaison

    Comparez
    ENLEVER TOUTES LES
    COMPARER
    0