Sasha Levin, de NVIDIA, responsable del mantenimiento de las ramas LTS del kernel de Linux y miembro del consejo asesor de la Fundación Linux, ha preparado un conjunto de parches que implementan un mecanismo de desactivación temporal para el kernel de Linux. Esta función permite deshabilitar instantáneamente ciertas funcionalidades del kernel. El mecanismo de desactivación temporal está diseñado para bloquear vulnerabilidades temporalmente hasta que se instale una actualización del kernel con la solución.
Killswitch se controla mediante el archivo "/sys/kernel/security/killswitch/control", que permite configurar la intercepción de las llamadas a funciones del kernel por su nombre. Por ejemplo, para bloquear la vulnerabilidad Copy Fail, basta con añadir el comando "engage af_alg_sendmsg -1" al archivo de control para habilitar la intercepción de la llamada a la función af_alg_sendmsg y devolver el código de error "-1".
Cualquier carácter compatible con el subsistema kprobes puede usarse como nombre. Muchas de las vulnerabilidades graves del kernel descubiertas recientemente se encuentran en subsistemas utilizados por un número relativamente pequeño de usuarios (por ejemplo, AF_ALG, ksmbd, nf_tables, vsock, ax25). Para la mayoría de los usuarios, la inconveniencia de la pérdida de funcionalidad en ciertas funciones no justifica el riesgo de usar un kernel con una vulnerabilidad conocida y sin parchear hasta que se instale un parche. El mecanismo killswitch es particularmente relevante en el contexto de la vulnerabilidad actual Dirty Frag, para la cual se publicó un exploit antes de que se solucionara el problema en el kernel.
Fuente: opennet.ru
