Descarga hotdog - Descarga del código fuente hotdog

hotdog

Otro código fuente

Descargar

Hot dog

Hotdog es un conjunto de ganchos OCI que se utilizan para inyectar Log4j Hot Patch en contenedores.

️ El hotdog está muy cerca del final de su vida útil. Han pasado veinte meses desde que se descubrió CVE-2021-44228 y esperamos que para entonces la gran mayoría de las aplicaciones Java hayan sido parcheadas. Tampoco tenemos conocimiento de ningún uso de Hotdog fuera de Bottlerocket, que ya no lo usa. Por lo tanto, planeamos dejar Hotdog al final de su vida útil para noviembre de 2023. Abra un problema si esto le afecta.

como funciona

Cuando runc configura el contenedor, invoca hotdog-cc-hook . hotdog-cc-hook enlaza-monta los archivos hotpatch en el sistema de archivos del contenedor en /dev/shm/.hotdog . Después de que se inicia el proceso del contenedor principal, runc invoca hotdog-poststart-hook , que usa nsenter para ingresar a los espacios de nombres del contenedor y bifurcar un proceso hotdog-hotpatch . hotdog-hotpatch se ejecuta varias veces con una frecuencia decreciente (actualmente 1, 5, 10, 30) para detectar y aplicar parches en caliente a las JVM dentro del contenedor.

Limitaciones

Hotdog solo proporciona soporte de parches para Java 8, 11, 15 y 17.
Hotdog solo se ejecuta durante un breve periodo de tiempo al comienzo de la vida útil de un contenedor. Si se inician nuevos procesos Java después de que finalice el proceso hotdog-hotpatch , no se aplicarán parches en caliente.
Hotdog solo parchea procesos llamados "java". Si su aplicación Java tiene un nombre de proceso diferente, hotdog no la parcheará.
Hotdog funciona mejor cuando el contenedor tiene su propio espacio de nombres pid. Si se usa hotdog con un contenedor que tiene un espacio de nombres pid compartido, el hotdog-hotpatch podría permanecer por un corto tiempo después de que salga el contenedor.
Hotdog inyecta sus componentes en /dev/shm/.hotdog dentro del contenedor. Si /dev/shm no existe (como en el caso de los contenedores Docker iniciados con --ipc=none ), hotdog no se inyectará en el contenedor y no proporcionará parches.

Instalación

Cohete de botella

Hotdog está incluido de forma predeterminada en Bottlerocket 1.5.0.

Se puede habilitar el hotpatching para nuevos lanzamientos de Bottlerocket incluyendo las siguientes configuraciones en los datos del usuario.

[ settings . oci-hooks ]
log4j-hotpatch-enabled = true

Para los hosts existentes que ejecutan la última versión de Bottlerocket, se puede habilitar el hotpatching mediante el cliente API.

apiclient set oci-hooks.log4j-hotpatch-enabled=true

Habilitar la configuración en tiempo de ejecución no tiene ningún efecto en los contenedores en ejecución. Los contenedores recién lanzados serán parcheados.

Otras distribuciones de Linux

Para instalar Hotdog, debe copiar los siguientes archivos en la ubicación correcta y establecer la configuración adecuada.

Copie Log4jHotPatch.jar a /usr/share/hotdog (si crea el parche desde el código fuente, lo encontrará en build/libs )
Ejecute make && sudo make install para instalar hotdog-cc-hook y hotdog-poststart-hook en /usr/libexec/hotdog y hotdog-hotpatch en /usr/share/hotdog
Instalar oci-add-hooks

Configure oci-add-hooks con los hotdog hooks escribiendo el siguiente contenido en /etc/hotdog/config.json :

{
  "hooks" : {
    "prestart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-cc-hook "
    }],
    "poststart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-poststart-hook "
    }]
  }
}

Configure Docker para usar los enlaces escribiendo el siguiente contenido en /etc/docker/daemon.json :

{
  "runtimes" : {
    "hotdog" : {
      "path" : " oci-add-hooks " ,
      "runtimeArgs" : [
        " --hook-config-path " , " /etc/hotdog/config.json " ,
        " --runtime-path " , " /usr/sbin/runc "
      ]
    }
  }
}

Para ejecutar un contenedor con hotpatching habilitado, especifique docker run --runtime hotdog . Para ejecutar con hotpatching habilitado de forma predeterminada en todos los contenedores, agregue el siguiente contenido a /etc/docker/daemon.json :

 "default-runtime": "hotdog"

Si desea excluirse de hotdog incluso cuando está habilitado de forma predeterminada, especifique --runtime runc .

Solución de problemas

hotdog agregará varios archivos al directorio /dev/shm/.hotdog en cada contenedor. Puede encontrar el registro de hotdog-hotpatch en /dev/shm/hotdog.log .