Sasha Levin iz NVIDIA-e, koji održava LTS grane Linux kernela i član je savjetodavnog odbora Linux fondacije, pripremio je set zakrpa koje implementiraju mehanizam killswitch za Linux kernel. Predložena funkcija omogućava trenutno onemogućavanje određenih funkcionalnosti kernela. Killswitch je namijenjen da bude koristan za privremeno blokiranje ranjivosti dok se ne instalira ažuriranje kernela s ispravkom.
Killswitch se kontroliše putem datoteke "/sys/kernel/security/killswitch/control", koja vam omogućava da konfigurišete presretanje poziva funkcija kernela po njihovim imenima. Na primjer, da biste blokirali ranjivost Copy Fail, jednostavno dodajte naredbu "engage af_alg_sendmsg -1" u kontrolnu datoteku kako biste omogućili presretanje poziva funkcije af_alg_sendmsg i umjesto toga vratili kod greške "-1".
Bilo koji znakovi koje podržava kprobes podsistem mogu se koristiti kao imena. Mnoge od nedavno otkrivenih ozbiljnih ranjivosti kernela postoje u podsistemima koje koristi relativno mali broj korisnika (npr. AF_ALG, ksmbd, nf_tables, vsock, ax25). Za većinu korisnika, neugodnost gubitka funkcionalnosti u određenim funkcijama nije vrijedna rizika korištenja kernela sa poznatom, nezakrpljenom ranjivošću dok se ne instalira zakrpa. Mehanizam killswitch je posebno relevantan u kontekstu trenutne ranjivosti Dirty Frag, za koju je objavljena zloupotreba prije nego što je problem ispravljen u kernelu.
izvor: opennet.ru
