Η Sasha Levin της NVIDIA, η οποία διατηρεί τους κλάδους LTS του πυρήνα Linux και συμμετέχει στο συμβουλευτικό συμβούλιο του Linux Foundation, έχει ετοιμάσει ένα σύνολο ενημερώσεων κώδικα που εφαρμόζουν έναν μηχανισμό killswitch για τον πυρήνα Linux. Η προτεινόμενη λειτουργία επιτρέπει την άμεση απενεργοποίηση ορισμένων λειτουργιών του πυρήνα. Το killswitch προορίζεται να είναι χρήσιμο για τον προσωρινό αποκλεισμό ευπαθειών μέχρι να εγκατασταθεί μια ενημέρωση πυρήνα με μια επιδιόρθωση.
Το Killswitch ελέγχεται μέσω του αρχείου "/sys/kernel/security/killswitch/control", το οποίο σας επιτρέπει να ρυθμίσετε την παρεμπόδιση των κλήσεων συναρτήσεων πυρήνα με βάση τα ονόματά τους. Για παράδειγμα, για να αποκλείσετε την ευπάθεια Copy Fail, απλώς προσθέστε την εντολή "engage af_alg_sendmsg -1" στο αρχείο ελέγχου για να ενεργοποιήσετε την παρεμπόδιση της κλήσης συνάρτησης af_alg_sendmsg και να επιστρέψετε τον κωδικό σφάλματος "-1".
Οποιοιδήποτε χαρακτήρες υποστηρίζονται από το υποσύστημα kprobes μπορούν να χρησιμοποιηθούν ως ονόματα. Πολλές από τις πρόσφατα ανακαλυφθείσες σοβαρές ευπάθειες του πυρήνα υπάρχουν σε υποσυστήματα που χρησιμοποιούνται από έναν σχετικά μικρό αριθμό χρηστών (π.χ., AF_ALG, ksmbd, nf_tables, vsock, ax25). Για τους περισσότερους χρήστες, η ταλαιπωρία της απώλειας λειτουργικότητας σε ορισμένες συναρτήσεις δεν αξίζει τον κίνδυνο χρήσης ενός πυρήνα με μια γνωστή, μη ενημερωμένη ευπάθεια μέχρι να εγκατασταθεί μια ενημέρωση κώδικα. Ο μηχανισμός killswitch είναι ιδιαίτερα σημαντικός στο πλαίσιο της τρέχουσας ευπάθειας Dirty Frag, για την οποία δημοσιεύτηκε ένα exploit πριν διορθωθεί το πρόβλημα στον πυρήνα.
Πηγή: opennet.ru
