On näidatud võimalust mööda minna sihitud SELinuxi reeglites rakendatud kerneli moodulite laadimise keelust ühel uuritud seadmel (pole täpsustatud, millisest seadmest me räägime ja kui palju probleem mõjutab SELinuxi reegleid püsivaras ja distributsioonides). Moodulite blokeerimine asjaomastes SELinuxi reeglites põhines juurdepääsu piiramisel süsteemikutsele finit_module, mis võimaldab laadida moodulit failist ja mida kasutatakse utiliitides, nagu insmod. SELinuxi reeglid aga ei võtnud arvesse süsteemikutset init_module, mida saab kasutada ka kerneli moodulite laadimiseks otse mälus olevast puhvrist.
Meetodi demonstreerimiseks on ette valmistatud prototüüp, mis võimaldab käivitada koodi kerneli tasemel, laadides oma mooduli ja täielikult välja lülitada SELinuxi kaitse, kui teil on SELinuxi poolt piiratud süsteemile juurjuurdepääs.
Allikas: opennet.ru