Sasha Levin de NVIDIA, quien mantiene las ramas del kernel LTS. Linux y miembro del consejo asesor de la organización. Linux La Fundación preparó un conjunto de parches con la implementación del mecanismo killswitch para el kernel. LinuxLa función propuesta permite deshabilitar instantáneamente el acceso a ciertas funcionalidades de un kernel en ejecución. Se espera que Killswitch sea útil para bloquear temporalmente las vulnerabilidades hasta que se instale una actualización del kernel con la solución.
Killswitch se controla mediante el archivo "/sys/kernel/security/killswitch/control", que permite configurar la intercepción de las llamadas a funciones del kernel por su nombre. Por ejemplo, para bloquear la vulnerabilidad Copy Fail, basta con añadir el comando "engage af_alg_sendmsg -1" al archivo de control para habilitar la intercepción de la llamada a la función af_alg_sendmsg y devolver el código de error "-1".
Cualquier carácter compatible con el subsistema kprobes puede usarse como nombre. Muchas de las vulnerabilidades graves del kernel descubiertas recientemente se encuentran en subsistemas utilizados por un número relativamente pequeño de usuarios (por ejemplo, AF_ALG, ksmbd, nf_tables, vsock, ax25). Para la mayoría de los usuarios, la inconveniencia de la pérdida de funcionalidad en ciertas funciones no justifica el riesgo de usar un kernel con una vulnerabilidad conocida y sin parchear hasta que se instale un parche. El mecanismo killswitch es particularmente relevante en el contexto de la vulnerabilidad actual Dirty Frag, para la cual se publicó un exploit antes de que se solucionara el problema en el kernel.
Fuente: opennet.ru
