Canonical Livepatch für Ubuntu 16.04 LTS – gegen Stack Clash und so weiter

2 Kommentare Autor: Jürgen (jdo)

Die Stack Clash Security-Lücke (CVE-2017-1000366, CVE-2017-1000379 – amd64 Ubuntu, Debian, Fedora, CentOS) hat mich etwas aus meinem Urlaub gerissen (Security Advisory von Qualys), betrifft mich aber nicht direkt. Durch den Umzug auf einen root-Server muss ich aber besonders wachsam sein. Ich habe bereits erklärt, dass mein Server die Security-Updates automatisch einspielt (unattended Upgrades). Allerdings startet sich der Server nicht automatisch neu. Dafür möchte ich Canonical Livepatch einsetzen.

Warum mich Stack Clash nicht direkt betrifft

Zunächst einmal möchte ich kurz erklären, warum mich diese Security-Lücke nicht betrifft. Der Angreifer muss dazu einen Zugang auf den betroffenen Rechner haben. Erst dann kann er sich root-Rechter ergaunern und somit gehört ihm der Computer – das ist klar. Ein Exploit ist laut Qualys höchstwahrscheinlich nur lokal möglich und ein Remote Exploit (Angriff von außerhalb) ist nicht bekannt.

Da nur ich Zugriff auf meinen Server habe, könnte ich Stack Clash ausführen, um root-Rechte zu erlangen. Mit sudo ist es in meinem Fall aber einfacher.

Canonical Livepatch Service

Die Ubuntu-Macher bieten seit kurzer Zeit Canonical Livepatch auch kostenlos bis zu drei Rechnern an. Dabei muss nicht die Server-Edition von Ubuntu laufen – klappt auch für Desktop-Versionen. Ob ich das für meinen root-Server, auf dem mein Blog läuft, benutzen darf, weiß ich ehrlich gesagt nicht genau. Auf der Seite für Canonical Livepatch steht, ist gilt für Personal Use und ich bin mir nicht ganz sicher, ob ich durch die Werbung auf meiner Website nicht durch dieses Raster rutsche. Ich habe Canonical Livepatch mal installiert und wenn sich jemand aufregt, dann kommt es eben wieder runter. Aber für 750 US-Dollar pro Jahr, würde ich dann doch lieber wieder manuell patchen – oder wären es 250 US-Dollar bei mir, weil mein Server in einer VM läuft? Egal, auch das könnte ich nicht rechtfertigen.

Canonical Livepatch

Canonical Livepatch

Auf jeden Fall meldest Du Dich bei Canonical an oder in meinem Fall zählt der alte Ubuntu One Account noch. Danach klickst Du einfach auf Get your Livepatch token und Du bekommst den Code und die Installations-Anweisung.

Canonical Livepatch Installations-Anweisung

Canonical Livepatch Installations-Anweisung

Erst snapd installieren

Bei mir klappte der Befehl zunächst nicht, da der root-Server von Contabo ziemlich blank vorinstalliert ist. Das ist mir auch lieber so, denn persönlich installiere ich lieber nach als zu bereinigen. Das System hat gemeckert, snap nicht ausführen zu können. OK, das lässt sich ändern.

sudo apt install snapd

und schon klappt es mit der Aktivierung des Canoncial Livepatch Services.

sudo snap install canonical-livepatch
sudo canonical-livepatch enable <Dein Code>

Das war es auch schon. Sollten nun Security-Lücken im Kernel auftauchen, müssten sie eigentlich live gepatcht werden.

Der Canonical Livepatch Service ist für Standard-Kernel von 64-Bit Ubuntu – 14.04 LTS und 16.04 LTS – verfügbar.

Ist das nicht riskant? Was ist denn, wenn etwas schief läuft?

Das ist echt ein zweischneidiges Schwert. Auf der einen Seite sollen Security-Lücken so schnell wie möglich geschlossen werden, auf der anderen Seite sind unbeaufsichtigte Patches auch nicht ohne. Wenn es da scheppert, kann der Server erst einmal offline sein und es eine Zeit dauern, bis es bemerkt wird.

Ich persönlich halte es so, dass das Stopfen von Security-Lücken Priorität hat. ist der Server nicht mehr erreichbar, ist das sehr sehr ärgerlich, aber auch dann kann keiner mehr einbrechen. Wie Du das handhabst, musst Du selbst entscheiden und verantworten.

Canonical schreibt, dass beim Livepatch Service die Updates erst an eine kleine Gruppe ausgeliefert werden. Geht das gut, dann werden die entsprechenden Patches ausgerollt. Man wirft nicht blind mit Updates um sich, sondern testet natürlich. Klar kann etwas schief laufen, aber wenn einer einbricht, dann läuft auch nicht gerade alles nach Plan.




 Alle Kommentare als Feed abonnieren

2 Kommentare zu “Canonical Livepatch für Ubuntu 16.04 LTS – gegen Stack Clash und so weiter”

  1. Al CiD says:

    Wäre das eine praktikable Lösung(-Ansatz) für den nötigen Restart des Systems auf deinem Server?'

    https://www.cyberciti.biz/faq/how-to-find-out-if-my-ubuntudebian-linux-server-needs-a-reboot/

    • jdo says:

      das ist gar keine doofe Idee ... einmal täglich prüfen lassen und dann per Mail benachrichtigen ...