Sasha Levin d'NVIDIA, que manté les branques LTS del nucli de Linux i forma part del consell assessor de la Fundació Linux, ha preparat un conjunt de pegats que implementen un mecanisme killswitch per al nucli de Linux. La funció proposada permet la desactivació instantània de certes funcionalitats del nucli. El killswitch està pensat per ser útil per bloquejar temporalment vulnerabilitats fins que s'instal·li una actualització del nucli amb una correcció.
Killswitch es controla mitjançant el fitxer "/sys/kernel/security/killswitch/control", que permet configurar la intercepció de les crides a funcions del nucli pels seus noms. Per exemple, per bloquejar la vulnerabilitat Copy Fail, simplement afegiu l'ordre "engage af_alg_sendmsg -1" al fitxer de control per habilitar la intercepció de la crida a funció af_alg_sendmsg i retornar el codi d'error "-1".
Qualsevol caràcter admès pel subsistema kprobes es pot utilitzar com a noms. Moltes de les vulnerabilitats greus del nucli descobertes recentment existeixen en subsistemes utilitzats per un nombre relativament petit d'usuaris (per exemple, AF_ALG, ksmbd, nf_tables, vsock, ax25). Per a la majoria dels usuaris, la inconveniència de la pèrdua de funcionalitat en certes funcions no val la pena el risc d'utilitzar un nucli amb una vulnerabilitat coneguda i sense pegats fins que s'instal·li un pegat. El mecanisme killswitch és particularment rellevant en el context de la vulnerabilitat actual Dirty Frag, per a la qual es va publicar un exploit abans que el problema es corregís al nucli.
Font: opennet.ru
