NVIDIAs Sasha Levin, der vedligeholder LTS-grene af Linux-kernen og sidder i Linux Foundations rådgivende udvalg, har udarbejdet et sæt programrettelser, der implementerer en killswitch-mekanisme til Linux-kernen. Den foreslåede funktion muliggør øjeblikkelig deaktivering af visse kernelfunktioner. Killswitchen er beregnet til at være nyttig til midlertidigt at blokere sårbarheder, indtil en kernelopdatering med en rettelse er installeret.
Killswitch styres via filen "/sys/kernel/security/killswitch/control", som giver dig mulighed for at konfigurere opsnapping af kernefunktionskald ved hjælp af deres navne. For eksempel, for at blokere Copy Fail-sårbarheden, skal du blot tilføje kommandoen "engage af_alg_sendmsg -1" til kontrolfilen for at aktivere opsnapping af af_alg_sendmsg-funktionskaldet og returnere fejlkoden "-1" i stedet.
Alle tegn, der understøttes af kprobes-undersystemet, kan bruges som navne. Mange af de nyligt opdagede alvorlige kernesårbarheder findes i undersystemer, der bruges af et relativt lille antal brugere (f.eks. AF_ALG, ksmbd, nf_tables, vsock, ax25). For de fleste brugere er ulejligheden ved tab af funktionalitet i visse funktioner ikke risikoen værd at bruge en kerne med en kendt, ikke-opdateringsopdatering, indtil en opdatering er installeret. Killswitch-mekanismen er især relevant i forbindelse med den nuværende Dirty Frag-sårbarhed, for hvilken der blev offentliggjort en exploit, før problemet blev rettet i kernen.
Kilde: opennet.ru
