Veröffentlichung des Moduls LKRG 0.7 zum Schutz vor der Ausnutzung von Schwachstellen im Linux-Kernel.

Openwall-Projekt veröffentlichte Veröffentlichung des Kernel-Moduls LKRG 0.7 (Linux Kernel Runtime Guard), der die Erkennung unbefugter Änderungen am laufenden Kernel (Integritätsprüfung) oder Versuche zur Änderung der Berechtigungen von Benutzerprozessen (Erkennung von Exploit-Nutzung) gewährleistet. Das Modul eignet sich sowohl zum Schutz gegen bekannte Exploits des Linux-Kernels (zum Beispiel in Situationen, in denen es schwierig ist, den Kernel im System zu aktualisieren), als auch zum Schutz gegen Exploits für noch unbekannte Schwachstellen. Über die Besonderheiten von LKRG können Sie in der ersten Ankündigung des Projekts.

Zu den Änderungen in der neuen Version gehören:

  • Der Code wurde refaktorisiert, um die Unterstützung verschiedener CPU-Architekturen zu gewährleisten. Anfangliche Unterstützung für die ARM64-Architektur wurde hinzugefügt;
  • Kompatibilität mit den Linux-Kernel-Versionen 5.1 und 5.2 sowie mit Kernen, die ohne die Aktivierung der Optionen CONFIG_DYNAMIC_DEBUG, CONFIG_ACPI und CONFIG_STACKTRACE während des Kernel-Baus erstellt wurden, wurde gewährleistet, ebenso wie mit Kernen, die mit der Option CONFIG_STATIC_USERMODEHELPER kompiliert wurden. Experimentelle Unterstützung für Kerne des grsecurity-Projekts wurde hinzugefügt;
    CONFIG_ACPI und CONFIG_STACKTRACE sowie mit der Option CONFIG_STATIC_USERMODEHELPER kompilierte Kernel. Experimentelle Unterstützung für Kerne des grsecurity-Projekts hinzugefügt.
  • Die Logik der Initialisierung wurde erheblich verändert;
  • Im Integritätsprüfsystem wurde die Selbstüberprüfung (self-hashing) wieder aktiviert und ein Race Condition im Übergangsmarken-Engine (*_JUMP_LABEL) behoben, was zu gegenseitiger Blockierung bei der gleichzeitigen Initialisierung mit Lade- oder Entladeereignissen anderer Module führt;
  • Im Code zur Erkennung der Ausnutzung von Exploits wurden die neuen sysctl-Parameter lkrg.smep_panic (standardmäßig aktiviert) und lkrg.umh_lock (standardmäßig deaktiviert) hinzugefügt, zusätzliche Überprüfungen des SMEP/WP-Bits vorgenommen, die Logik zur Verfolgung neuer Aufgaben im System geändert, die interne Logik der Ressourcenabgleichung überarbeitet und die Unterstützung für OverlayFS hinzugefügt. Außerdem wurde Ubuntu Apport auf die Whitelist gesetzt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster