Linux nüvəsində (CVE-2022-21505) zəiflik aşkar edilib ki, bu da Kilidləmə təhlükəsizlik mexanizmindən yan keçməyi asanlaşdırır, bu da kök istifadəçinin nüvəyə girişini məhdudlaşdırır və UEFI Secure Boot bypass yollarını bloklayır. Bundan yan keçmək üçün rəqəmsal imzalar və heşlərdən istifadə edərək əməliyyat sistemi komponentlərinin bütövlüyünü yoxlamaq üçün nəzərdə tutulmuş IMA (İntegrity Measurement Architecture) nüvə alt sistemindən istifadə etmək təklif olunur.
Kilidləmə rejimi /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug rejimi, mmiotrace, tracefs, BPF, PCMCIA CIS (Kart Məlumat Strukturu), bəzi ACPI interfeysləri və CPU-ya girişi məhdudlaşdırır MSR registrləri, kexec_file və kexec_load zəngləri bloklanır, yuxu rejimi qadağandır, PCI cihazları üçün DMA istifadəsi məhduddur, EFI dəyişənlərindən ACPI kodunun idxalı qadağandır, I/O portları ilə manipulyasiyalara, o cümlədən kəsilmə nömrəsinin və I portunun dəyişdirilməsinə icazə verilmir. Serial port üçün /O.
Zəifliyin mahiyyəti ondan ibarətdir ki, “ima_appraise=log” yükləmə parametrindən istifadə edərkən sistemdə Secure Boot rejimi aktiv deyilsə və Lockdown rejimi ayrıca istifadə olunursa, nüvənin yeni nüsxəsini yükləmək üçün kexec-ə zəng etmək mümkündür. ondan. IMA Təhlükəsiz Yükləmə aktiv olduqda “ima_appraise” rejiminin işə salınmasına icazə vermir, lakin Təhlükəsiz Yükləmədən ayrı Lockdown istifadə etmək imkanını nəzərə almır.
Mənbə: opennet.ru