Das Openwall-Projekt hat die Veröffentlichung des LKRG-Moduls 0.9.2 (Linux Kernel Runtime Guard) bekannt gegeben, das zur Erkennung und Blockierung von Angriffen sowie zur Wahrung der Integrität von Kernel-Strukturen dient. Beispielsweise kann das Modul vor unbefugten Änderungen am laufenden Kernel und Versuchen, die Berechtigungen von Benutzerprozessen zu ändern (d.h. zum Einsatz von Exploits), schützen. Das Modul eignet sich sowohl zum Schutz vor bereits bekannten Schwachstellen des Linux-Kernels (z.B. in Situationen, in denen es problematisch ist, das Kernel zu aktualisieren) als auch zur Abwehr von Exploits für bisher unbekannte Schwachstellen. Der Code des Projekts steht unter der GPLv2-Lizenz. Informationen zur Implementierung von LKRG sind in der ersten Ankündigung des Projekts zu finden.
Zu den Änderungen in der neuen Version gehören:
- Die Kompatibilität mit Linux-Kerneln von 5.14 bis 5.16-rc sowie mit Updates der LTS-Kernel 5.4.118+, 4.19.191+ und 4.14.233+ ist gewährleistet.
- Unterstützung verschiedener CONFIG_SECCOMP-Konfigurationen hinzugefügt.
- Unterstützung für den Kernel-Parameter „nolkrg“ zur Deaktivierung von LKRG während des Bootvorgangs hinzugefügt.
- Falsches Alarmsignal aufgrund eines Rennzustands bei der Verarbeitung von SECCOMP_FILTER_FLAG_TSYNC behoben.
- Die Funktion CONFIG_HAVE_STATIC_CALL wurde in Linux-Kernen 5.10+ implementiert, um Wettlaufbedingungen beim Entladen anderer Module zu verhindern.
- Die Namen der Module, die bei Verwendung der Einstellung lkrg.block_modules=1 blockiert wurden, werden nun im Protokoll gespeichert.
- Sysctl-Konfigurationen werden jetzt in der Datei /etc/sysctl.d/01-lkrg.conf abgelegt.
- Die Konfigurationsdatei dkms.conf für das DKMS-System (Dynamic Kernel Module Support) wurde hinzugefügt, um benutzerdefinierte Module nach einem Kernel-Update zu erstellen.
- Die Unterstützung für Debug-Builds und Continuous-Integration-Systeme wurde verbessert und aktualisiert.
Quelle: opennet.ru
