Sasha Levin de NVIDIA, kiu prizorgas LTS-branĉojn de la Linuksa kerno kaj servas en la konsila komitato de la Linuksa Fonduso, preparis aron da flikaĵoj efektivigantaj ŝaltilmekanismon por la Linuksa kerno. La proponita funkcio ebligas tujan malŝalton de certaj kernaj funkcioj. La ŝaltilmekanismo celas esti utila por provizore bloki vundeblecojn ĝis kiam kerna ĝisdatigo kun korekto estos instalita.
Killswitch estas kontrolata per la dosiero "/sys/kernel/security/killswitch/control", kiu permesas al vi agordi la interkapton de kernaj funkciovokoj laŭ iliaj nomoj. Ekzemple, por bloki la vundeblecon Copy Fail, simple aldonu la komandon "engage af_alg_sendmsg -1" al la kontrola dosiero por ebligi interkapton de la funkciovoko af_alg_sendmsg kaj anstataŭe redoni la erarkodon "-1".
Ĉiuj signoj subtenataj de la subsistemo kprobes povas esti uzataj kiel nomoj. Multaj el la ĵus malkovritaj gravaj kernaj vundeblecoj ekzistas en subsistemoj uzataj de relative malgranda nombro da uzantoj (ekz., AF_ALG, ksmbd, nf_tables, vsock, ax25). Por plej multaj uzantoj, la ĝeno de la perdo de funkcioj en certaj funkcioj ne valoras la riskon uzi kernon kun konata, neflikita vundebleco ĝis ĝisdatigo estas instalita. La killswitch-mekanismo estas precipe grava en la kunteksto de la nuna vundebleco Dirty Frag, por kiu ekspluato estis publikigita antaŭ ol la problemo estis riparita en la kerno.
fonto: opennet.ru
