Sasha Levin von NVIDIA, der die LTS-Zweige des Linux-Kernels pflegt und dem Beirat der Linux Foundation angehört, hat eine Reihe von Patches entwickelt, die einen Killswitch-Mechanismus für den Linux-Kernel implementieren. Diese Funktion ermöglicht die sofortige Deaktivierung bestimmter Kernel-Funktionen. Der Killswitch soll dazu dienen, Sicherheitslücken vorübergehend zu schließen, bis ein Kernel-Update mit einer Fehlerbehebung installiert ist.
Killswitch wird über die Datei "/sys/kernel/security/killswitch/control" gesteuert. Diese ermöglicht die Konfiguration des Abfangens von Kernel-Funktionsaufrufen anhand ihrer Namen. Um beispielsweise die Copy-Fail-Schwachstelle zu beheben, fügen Sie einfach den Befehl "engage af_alg_sendmsg -1" zur Kontrolldatei hinzu. Dadurch wird das Abfangen des Funktionsaufrufs af_alg_sendmsg aktiviert und der Fehlercode "-1" zurückgegeben.
Alle vom kprobes-Subsystem unterstützten Zeichen können als Namen verwendet werden. Viele der kürzlich entdeckten schwerwiegenden Kernel-Schwachstellen betreffen Subsysteme, die nur von einer relativ kleinen Anzahl von Nutzern verwendet werden (z. B. AF_ALG, ksmbd, nf_tables, vsock, ax25). Für die meisten Nutzer rechtfertigt der Funktionsverlust bestimmter Funktionen nicht das Risiko, einen Kernel mit einer bekannten, ungepatchten Schwachstelle zu verwenden, bis ein Patch installiert ist. Der Killswitch-Mechanismus ist insbesondere im Zusammenhang mit der aktuellen Dirty-Frag-Schwachstelle relevant, für die ein Exploit veröffentlicht wurde, bevor das Problem im Kernel behoben war.
Source: opennet.ru
