Verwendung von UChecker zur Erkennung veralteter Shared Libraries

Mitglied: KernelCare

KernelCare (Level 1) - Jetzt verbinden

21.04.2021, aktualisiert 10:46 Uhr, 361 Aufrufe, 1 Kommentar

Wenn Sie für Ihre technologischen Anforderungen auf freie und OpenSource Software (FOSS) angewiesen sind, finden Sie es wahrscheinlich schwierig, Shared Libraries zu verwalten und zu patchen.
Sie können sich auch nicht zurücklehnen und das Problem einfach ignorieren - Shared Libraries sind ein häufiger Einstiegspunkt für Hacker, zum Teil weil Shared Libraries so weit verbreitet und häufig verwendet werden. Im Grunde genommen sind Shared Libraries überall im Einsatz - auch wenn man nicht so sehr auf OpenSource angewiesen ist.
Die weit verbreitete Verwendung von Shared Libraries ist wahrscheinlich der Grund dafür, dass eine Shared Library wie OpenSSL stark angegriffen wird. Tatsächlich wird eine einzige die beliebte Open-Source-Library, OpenSSL, in bis zu 19 % aller Angriffe das Ziel.
Es ist wichtig, dass Sie veraltete Shared Libraries in Ihrer Arbeitsablauf finden und identifizieren. In diesem Artikel erklären wir, wie Sie UChecker verwenden, um veraltete Shared Libraries zu erkennen, die sich aktiv im Speicher Ihrer Linux BETRIEBSSYSTEM-Server befinden.

Regelmäßiges Patchen ist entscheidend

Verwenden Sie Libraries wie OpenSSL und GNU C (glibc)? Oder eine andere Open-Source-Library? Es liegt an Ihnen, sicherzustellen, dass Sie die Libraries regelmäßig aktualisieren und patchen. Es kann jedoch schwierig sein, zu beurteilen, welche Libraries im Einsatz sind, da Libraries oft einfach als Teil einer viel größeren Anwendung installiert werden.
Außerdem ist das Patchen nicht immer einfach, da es einen Neustart des Servers bedeuten kann, oder dass Sie alle Prozesse auf Ihrem Server neu starten müssen, nur um Prozesse abzudecken, von denen Sie nicht sicher sind, ob sie aktuell sind. Es kann schwierig sein, zu erkennen, welche Prozesse eine veraltete Library verwenden.
Prozess- und Systemneustarts sind zeitaufwendig, störend und können zu größeren Problemen bei der Verwaltung Ihres Workloads führen. Während es also sehr riskant ist, nicht zu patchen, kann auch der bloße Akt des Patchens Ihrer Open-Source-Libraries ein Risiko für die Betriebsstabilität darstellen.
KernelCare hat jedoch ein Tool namens UChecker entwickelt, das dieses Problem beseitigen kann. UChecker ist ein einfaches Skript, das Sie ausführen - es ist die Abkürzung für Userspace Checker. Schauen wir uns das mal an.

Was macht UChecker?

Veröffentlicht von KernelCare, ist UChecker Open Source und frei. UChecker ist wirklich einfach zu bedienen. Das Tool erlaubt es Ihnen, nachzuschauen, welche Prozesse, die auf Ihrem Rechner laufen, veraltete Libraries nutzen - und welche einen Neustart erfordern. KernelCare schuf UChecker, während der Entwicklung seines Live-Patching-Tools, das Shared Libraries sofort aktualisieren kann.
Mit UChecker können Sie leicht Open-Source-Libraries finden, die verwundbar sind. Sobald Sie die Libraries identifiziert haben, die nicht auf dem neuesten Stand sind, können Sie loslegen und die Library patchen, um Ihr System vor Angriffen zu schützen. Beachten Sie, dass Sie nach dem Patchen der Library den Prozess, der die Library verwendet hat, neu starten müssen, es sei denn, Sie nutzen einen Live-Patching-Dienst ohne Neustart.
Nichtsdestotrotz kann UChecker Ihnen helfen, die Prozesse zu identifizieren, auf die Sie sich konzentrieren müssen. Das bedeutet, dass Sie Ihren Server nicht unnötig neu starten müssen, um Prozesse zu patchen, die bereits auf dem neuesten Stand sind. Es ist oft einfacher, einen Neustart durchzuführen, um alles auf den neuesten Stand zu bringen, aber wie Sie wissen, je weniger Neustarts Sie haben, desto geringer sind die Unterbrechungen in Ihren Arbeitsabläufen.

Verstehen, wie UChecker Aktualisierungen durchführt

Kompatibel mit den meisten modernen Linux-Distributionen, ist UChecker völlig frei zu verwenden und wird unter der GNU GPL veröffentlicht, so dass Sie es nach Belieben modifizieren und weitergeben können. Es ist mit JSON aufgebaut. Wie wir zu Beginn erklärt haben, hat KernelCare UChecker entwickelt, um nach Prozessen zu suchen, die Software-Libraries verwenden, die nicht gepatcht wurden, und meldet diese Libraries an Sie.
UChecker vollbringt seinen Zauber, indem es einen BuildID-Vergleich für die Libraries durchführt. Dies bedeutet, dass UChecker Dateien kennt, die gelöscht oder ersetzt wurden. Das Flussdiagramm unten gibt Ihnen eine gute Vorstellung davon, wie UChecker arbeitet.

chart-updated - Klicke auf das Bild, um es zu vergrößern

Sie erhalten eine Menge nützlicher Informationen, wenn Sie UChecker verwenden. Führen Sie das Tool aus und Sie erhalten die Prozess-ID und den Namen, aber das Tool gibt Ihnen auch die Namen der Shared Libraries, die nicht gepatcht sind. Und Sie erhalten auch die Build-IDs für diese Libraries - alle stammen aus den primären Quellen von KernelCare.
Indem es über /proc/ iteriert, nimmt UChecker einen laufenden Prozess und erhält über /proc/<pid>/maps eine verknüpfte Shared Library. Das Tool prüft dann, ob die Shared Library gelöscht oder vielleicht ersetzt wurde. Die Antwort teilt UChecker mit, ob ELF aus dem gemappten Speicher oder aus dem Dateisystem geparst werden soll. Als letzten Schritt findet UChecker die BuildID durch einen Blick auf .note.gnu.build-id.

Wie Sie UChecker auf Ihrem System ausführen

Es ist wirklich einfach, UChecker zu benutzen. Sie führen einfach diesen Befehl aus, um ungepatchte Libraries auf Ihrem Linux-Rechner zu finden:

  1. curl -s -L (Moderation: Link entfernt) | python

Sie brauchen nichts Besonderes zu installieren, um UChecker zu verwenden, Sie führen einfach das Skript wie oben gezeigt aus. Das Ausführen dieses Befehls startet einen Scan Ihres Linux-Servers und findet alle veralteten Shared Libraries, die mit allen Python-Prozessen verbunden sind - diese werden dann mit der Standardausgabe aufgelistet, wie Sie im Beispiel unten sehen.

screenshot - Klicke auf das Bild, um es zu vergrößern

Sobald Sie einen Blick auf die Liste werfen, können Sie sich entscheiden, die ungepatchten Libraries zu aktualisieren, und Sie tun dies mit Ihrem üblichen Paketmanager.
Sie sehen also, wie Sie mit einem einfachen Befehl Open-Source-Libraries identifizieren können, die gepatcht werden müssen. Dank UChecker vermeiden Sie, dass Sie ein System neu starten müssen, nur weil Sie versuchen, alle Prozesse abzudecken, weil Sie nicht wissen, welcher Prozess es ist, den Sie neu starten müssen.
UChecker deckt Sie für Open-Source-Libraries von GNU C bis hin zu OpenSSL ab. Natürlich ist das Live-Patching von Schwachstellen eine weitere Option - es lohnt sich, KernelCare auszuprobieren, wenn Sie kommerzielle oder kritische Arbeitslasten betreiben. KernelCare kann sicherstellen, dass Sie Ihre Maschinen nicht ständig neu starten müssen, um Patches zu installieren. (Moderation: Link entfernt)
Kommentar vom Moderator colinardo am 21.04.2021 um 10:40:31 Uhr
Kommerzielle Werbung und keine Anleitung, landet in der Ablage. Links entfernt.
Mitglied: Lochkartenstanzer
21.04.2021, aktualisiert um 10:18 Uhr
Moin,

Sieht aus wie ordinärer SPAM um mit Uchecker die Leute zu Datenspenden zu Euch zu locken.

lks


PS. Ich rate jedem dringend davon ab, ohne überprüfung einfach die zeile "curl -s -L https://kernelcare.com/checker | python" in sein Terminal zu tippen.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 22 StundenAllgemeinOff Topic35 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 13 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows 10
Was ist zu wenig
ukulele-7Vor 9 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...