Als Kernel Live Patching (KLP) oder Module Hot Plugging (MHP) wird die Fähigkeit des Linux-Kernels bezeichnet, im laufenden Betrieb Sicherheitslücken im Kernel zu schließen. Damit kann die Anzahl nötiger Neustarts verringert werden, was die Downtime von Servern verringert. Kernel Live Patching stellt eine Alternative zu hochverfügbaren Servern dar.[1]
Kernel Live Patching wurde als Schnittmenge aus kpatch und kGraft entwickelt und in den Linux-Kernel 4.0 integriert.[1][2] Seitdem unterstützt der Linux-Kernel Live Patching ohne Zusatzprogramme. Gleichzeitig wurde auch ein Interface für kGraft und kpatch bereitgestellt, die statt 90 % aller Sicherheitslücken wie bei der nativen Lösung etwa 95 % schließen können.[3][4]
ksplice
Ksplice war das erste Live-Patching-System, welches 2008 veröffentlicht wurde. 2011 wurde der Entwickler von Oracle gekauft, die ihr Serverbetriebssystem Oracle Linux damit ausstatteten.
ksplice erzeugt ein Patch-Modul aus dem Vergleich von originalem und gepatchtem Quellcode. Im Gegensatz zu seinen Nachfolgern müssen bei ksplice alle Prozesse einmal mit stop_machine angehalten werden.[1]