Выпуск модуля LKRG 0.9.2 для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ эксплуатации уязвимостСй Π² ядрС Linux

ΠŸΡ€ΠΎΠ΅ΠΊΡ‚ Openwall ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π» выпуск модуля ядра LKRG 0.9.2 (Linux Kernel Runtime Guard), ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½ΠΎΠ³ΠΎ для выявлСния ΠΈ блокирования Π°Ρ‚Π°ΠΊ ΠΈ Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠΉ цСлостности структур ядра. НапримСр, ΠΌΠΎΠ΄ΡƒΠ»ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒ ΠΎΡ‚ нСсанкционированного внСсСния ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰Π΅Π΅ ядро ΠΈ ΠΏΠΎΠΏΡ‹Ρ‚ΠΎΠΊ измСнСния ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡ‡ΠΈΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΡ… процСссов (ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ примСнСния эксплоитов). ΠœΠΎΠ΄ΡƒΠ»ΡŒ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ΠΈΡ‚ ΠΊΠ°ΠΊ для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ эксплоитов ΡƒΠΆΠ΅ извСстных уязвимостСй ядра Linux (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π² ситуациях ΠΊΠΎΠ³Π΄Π° Π² систСмС ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°Ρ‚ΠΈΡ‡Π½ΠΎ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ ядро), Ρ‚Π°ΠΊ ΠΈ для противостояния эксплоитам для Π΅Ρ‰Ρ‘ нСизвСстных уязвимостСй. Код ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° распространяСтся ΠΏΠΎΠ΄ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠ΅ΠΉ GPLv2. Об особСнностях Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ LKRG ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€ΠΎΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ Π² ΠΏΠ΅Ρ€Π²ΠΎΠΌ анонсС ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π°.

Π‘Ρ€Π΅Π΄ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² Π½ΠΎΠ²ΠΎΠΉ вСрсии:

  • ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½Π° ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΠΌΠΎΡΡ‚ΡŒ с ядрами Linux с 5.14 ΠΏΠΎ 5.16-rc, Π° Ρ‚Π°ΠΊΠΆΠ΅ с обновлСниями LTS-ядСр 5.4.118+, 4.19.191+ ΠΈ 4.14.233+.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΉ CONFIG_SECCOMP.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° ядра «nolkrg» для Π΄Π΅Π°ΠΊΡ‚ΠΈΠ²Π°Ρ†ΠΈΠΈ LKRG Π½Π° этапС Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ.
  • УстранСно Π»ΠΎΠΆΠ½ΠΎΠ΅ срабатываниС ΠΈΠ·-Π·Π° состояния Π³ΠΎΠ½ΠΊΠΈ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ SECCOMP_FILTER_FLAG_TSYNC.
  • НалаТСна Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования настройки CONFIG_HAVE_STATIC_CALL Π² ядрах Linux 5.10+ для блокирования состояний Π³ΠΎΠ½ΠΊΠΈ ΠΏΡ€ΠΈ Π²Ρ‹Π³Ρ€ΡƒΠ·ΠΊΠ΅ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ.
  • ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ΠΎ сохранСниС Π² Π»ΠΎΠ³Π΅ ΠΈΠΌΡ‘Π½ ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ, Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈ использовании настройки lkrg.block_modules=1.
  • Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ Ρ€Π°Π·ΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ sysctl-настроСк Π² Ρ„Π°ΠΉΠ»Π΅ /etc/sysctl.d/01-lkrg.conf
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½ Ρ„Π°ΠΉΠ» ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ dkms.conf для систСмы DKMS (Dynamic Kernel Module Support), ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠΉ для сборки сторонних ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ послС обновлСния ядра.
  • Π£Π»ΡƒΡ‡ΡˆΠ΅Π½Π° ΠΈ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΎΡ‚Π»Π°Π΄ΠΎΡ‡Π½Ρ‹Ρ… сборок ΠΈ систСм Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠΉ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ