Mae Sasha Levin o NVIDIA, sy'n cynnal canghennau LTS o gnewyllyn Linux ac yn gwasanaethu ar fwrdd cynghori Sefydliad Linux, wedi paratoi set o glytiau sy'n gweithredu mecanwaith newid lladd ar gyfer cnewyllyn Linux. Mae'r nodwedd arfaethedig yn caniatáu analluogi rhai swyddogaethau cnewyllyn ar unwaith. Bwriedir i'r newid lladd fod yn ddefnyddiol ar gyfer rhwystro gwendidau dros dro nes bod diweddariad cnewyllyn gydag ateb wedi'i osod.
Rheolir Killswitch drwy'r ffeil "/sys/kernel/security/killswitch/control", sy'n eich galluogi i ffurfweddu rhyng-gipio galwadau swyddogaeth cnewyllyn yn ôl eu henwau. Er enghraifft, i rwystro'r bregusrwydd Copïo Methiant, ychwanegwch y gorchymyn "engage af_alg_sendmsg -1" at y ffeil reoli i alluogi rhyng-gipio'r alwad swyddogaeth af_alg_sendmsg a dychwelyd y cod gwall "-1" yn lle.
Gellir defnyddio unrhyw nodau a gefnogir gan is-system kprobes fel enwau. Mae llawer o'r gwendidau cnewyllyn difrifol a ddarganfuwyd yn ddiweddar yn bodoli mewn is-systemau a ddefnyddir gan nifer gymharol fach o ddefnyddwyr (e.e., AF_ALG, ksmbd, nf_tables, vsock, ax25). I'r rhan fwyaf o ddefnyddwyr, nid yw'r anghyfleustra o golli swyddogaeth mewn rhai swyddogaethau yn werth y risg o ddefnyddio cnewyllyn gyda gwendid hysbys, heb ei gylchdroi nes bod clwt wedi'i osod. Mae'r mecanwaith lladd-switch yn arbennig o berthnasol yng nghyd-destun y gwendid Dirty Frag cyfredol, y cyhoeddwyd camfanteisio ar ei gyfer cyn i'r mater gael ei drwsio yn y cnewyllyn.
Ffynhonnell: opennet.ru
