Sasha Levin di NVIDIA, chì mantene e branche LTS di u kernel Linux è serve in u cunsigliu consultivu di a Fundazione Linux, hà preparatu un inseme di patch chì implementanu un mecanismu killswitch per u kernel Linux. A funzione pruposta permette a disattivazione istantanea di certe funzionalità di u kernel. U killswitch hè destinatu à esse utile per bluccà temporaneamente e vulnerabilità finu à chì un aghjurnamentu di u kernel cù una correzione sia installatu.
Killswitch hè cuntrullatu via u schedariu "/sys/kernel/security/killswitch/control", chì permette di cunfigurà l'intercettazione di e chjame di funzione di u kernel per via di i so nomi. Per esempiu, per bluccà a vulnerabilità Copy Fail, basta à aghjunghje u cumandamentu "engage af_alg_sendmsg -1" à u schedariu di cuntrollu per attivà l'intercettazione di a chjama di funzione af_alg_sendmsg è restituisce u codice d'errore "-1" invece.
Ogni caratteru supportatu da u sottosistema kprobes pò esse adupratu cum'è nome. Parechje di e vulnerabilità serie di u kernel scuperte di recente esistenu in sottosistemi aduprati da un numeru relativamente chjucu d'utilizatori (per esempiu, AF_ALG, ksmbd, nf_tables, vsock, ax25). Per a maiò parte di l'utilizatori, l'inconveniente di a perdita di funzionalità in certe funzioni ùn vale micca u risicu di aduprà un kernel cù una vulnerabilità cunnisciuta è senza patch finu à chì un patch sia installatu. U mecanismu killswitch hè particularmente pertinente in u cuntestu di l'attuale vulnerabilità Dirty Frag, per a quale hè statu publicatu un exploit prima chì u prublema fussi riparatu in u kernel.
Source: opennet.ru
