Livepatching для ядра Linux на x86 и RISC-V: как это работает

Продолжаем разбираться в работе лайвпатчей для ядра Linux. В примере из первой части этой статьи мы загрузили лайвпатч и он каким-то магическим образом настроил все так, чтобы ядро Linux использовало не свою функцию nf_tproxy_laddr4(), а ее исправленный вариант. Давайте теперь посмотрим, что стоит за этой магией, а после этого разберемся, как все это использовать в продакшене. В этой части статьи будет и несколько вопросов-заданий для читателя. Ответы и подсказки — в конце.

https://habr.com/ru/companies/yadro/articles/930150/

#x86 #linux_kernel #livepatch #riscv #ftrace

Livepatching: готовим «точечное» обновление ядра Linux на примере реального бага

Бывает так, что серверные Linux-системы неделями или даже месяцами работают без перезагрузки. Переносить нагрузку с одного сервера на другие, устанавливать обновления, проверять, что после перезагрузки железо работает верно, запускать заново все необходимое ПО — это далеко не всегда просто, быстро и дешево. Но как быть, если нужно устранить критические уязвимости или другие серьезные ошибки в ядре Linux? Об одном из способов сделать это без перезагрузки системы и пойдет речь в этой статье. Меня зовут Евгений, я работаю в компании YADRO. Задачами, связанными с разработкой и анализом компонентов ядра Linux, я занимаюсь уже около 15 лет. Я расскажу, что такое livepatching, как такая технология появилась и как она применяется. А также покажу на примере, как можно самому сделать лайвпатч, чтобы исправить реальный баг в ядре Ubuntu 22.04 Server. У статьи будет продолжение. Там подробно разберем, как именно лайвпатчи заменяют одни функции ядра Linux на другие, а также узнаем, на что нужно обращать внимание, если потребуется использовать все это в продакшене. В основном речь пойдет о системах с архитектурой x86 и RISC-V (хотя технология работает и для ARM64, PowerPC, s390x).

https://habr.com/ru/companies/yadro/articles/928444/

#linux_kernel #livepatch #x86 #riscv

Welcome to PWM Wednesday!

A Yamaha CS-30 live patching session to start your day...

https://www.youtube.com/watch?v=u-2QfAKPxE0

#yamaha #cs30 #vintage #analogsynths #monoSynths #livepatch #cabinstudio

@diysynth

The Yamaha CS-30 is back... ready for a super-fun live patching session. Fair warning: things get kinda wild. :awesome:

What an incredible instrument!!

https://youtube.com/watch?v=Xz5ylnCE3I8

#yamaha #cs30 #vintage #analogsynths #monoSynths #livepatch #cabinstudio

@diysynth

The glorious CS-30 from Yamaha... there's one in my studio. And I'm patching it. :awesome:

Life is seriously good.

https://www.youtube.com/watch?v=_ZqiRBI1ZrQ

#yamaha #cs30 #vintage #analogsynths #monoSynths #livepatch #cabinstudio

@diysynth

Does #FreeBSD #kernel support #livepatching yet? I see some discussions here and there on the Internet. But I cannot find out if after all these discussions, the feature has been added or not.

#BSD #kernelhacks #kernellivepatch #livepatch #kerneldevelopment

Митап по Linux Kernel: про livepatching, работу с расширениями RISC-V и создание модуля ядра для memory extender

30 октября в 19:00 инженеры из YADRO и локальной Linux User группы откроют серию совместных митапов. Они поделятся опытом точечного обновления ядра Linux с помощью livepatching, расскажут о поддержке архитектуры и расширений RISC-V и про устройство подсистемы DMA.

https://habr.com/ru/companies/yadro/articles/848758/

#linux #livepatch #riscv #kernel #ram

Looking forward to discussing Linux kernel livepatch testing at Linux Plumbers Conference 2023!

#lpc #livepatch #suse

Does anybody know how to get #Ubuntu #Linux 22.04 to stop updating on its own without disabling the Internet connection? I have turned off automatic updates, and I have set the main Wi-Fi network to be a metered connection, yet it keeps downloading and installing updates throughout the day for months on end, multiple times per day, without me prompting it to. This has caused my SWAP usage to jump to 1 GiB randomly at times (last night, it forced Firefox to crash so that it could update)

I would disable the snap store, but it has some dependencies. Still, there should be a way to disable updates.

Also, this error happens almost every day, I usually just ignore it (it is either Ubuntu Jammy or Steam that does this) should I be worried about this?

I still feel this is better than #windows as my computer isn't forced to restart each time it wants to update. I love #livepatch

New blog post exploring CVE-2023-1829 and how to (ab)use it using only the tc (traffic control) tool.

https://mpdesouza.com/blog/five-commands-to-crash-the-kernel/

#suse #kernel #livepatch

Canonical Bringing Livepatch Support to HWE Kernels

Ubuntu Pro subscribers will be able to apply reboot-free updates to more Linux kernels from July. As spotted by our friends at Neowin, Canonical announced Livepatch support for Hardware Enablement (HWE) kernels starting this summer. The first HWE kernel being covered as part of this support extension is Linux 6.2, which will be backported from the Ubuntu 23.04 release and pushed out to users of Ubuntu 22.04 LTS. Livepatch is a feature only available on long-term support (LTS) versions of Ubuntu for users with an active Ubuntu Pro subscription. When enabled, Livepatch allows users to install kernel updates (on eligible :sys_more_orange:
#News #Canonical #Hwe #Livepatch #Ubuntu22_04Lts

:sys_omgubuntu: https://www.omgubuntu.co.uk/2023/04/ubuntu-livepatch-hwe-kernels

@arstechnica that's nothing new.

Good OSes like #UbuntuLTS support #Livepatch|ing for a decade now.

At SUSE, we from the Kernel Livepatching team need to make sure that live patches work properly, but how to test a live patch when you don't have a vulnerability reproducer for the bug? You create one!

https://mpdesouza.com/blog/from-zero-to-double-free/

#linux #kernel #ltp #cve #livepatch

Very interesting slides from @joe-lawrence about klp-convert and how it's being used to resolve non exported symbols on #livepatch loading time, without relying on kallsyms lookups. Hopefully we can have it merged "soon" :)

https://lpc.events/event/4/contributions/507/attachments/316/533/LPC2019.pdf

Interesting article about #kernel #livepatch and #bpftrace: https://www.bytelab.codes/using-modern-tooling-to-find-a-tough-linux-kernel-bug/

@beastieboy666 @PW_75 trotzdem sinnvoll automatische Updates durchzjpr7geln und regelmäßige Reboots zu machen - trotz #Livepatch|ing...

Ubuntu Pro is Now Available to Anyone Who Wants It

Canonical has made Ubuntu Pro generally available. Ubuntu Pro allows you to run an Ubuntu LTS release for 10 years with more critical security updates.
#News #Canonical #Livepatch #UbuntuPro

:sys_omgubuntu: https://www.omgubuntu.co.uk/2023/01/ubuntu-pro-general-availability

Finally, I feel inspired to do a real #Introduction.

Hi! I'm Ben. I make #livepatch for Ubuntu. You shouldn't need or use it! Being lazy about security and not updating quickly is bad, and if you've designed your system so it can't reboot, you did it wrong! Like many of us in security jobs, I hate that my current role exists and wish it wasn't absolutely necessary! :)

I love indie games, open source, and creative people everywhere. Please invite me to your Liberapay, Patreon, AND kickstarter.

Would anyone recommend using #Canonical #Livepatch? Is it free? I have a radio server running #LibreTime on #Ubuntu18.

Super das #Upgrade von #Ubuntu von 21.10 auf 22.04 hat sauber funktioniert.

Leider gibt es noch ein Bug im #Livepatch zu aktivieren und einen #trusted.gpg, was in einigen Wochen behoben werden sollte.

Die bekannten Bugs meinerseits beeinträchtigen aber nicht die funktion von Ubuntu 22.04. 😊