Sasha Levin fan NVIDIA, dy't LTS-tûken fan 'e Linux-kernel ûnderhâldt en yn 'e advysried fan 'e Linux Foundation sit, hat in set patches taret dy't in killswitch-meganisme foar de Linux-kernel ymplementearje. De foarstelde funksje makket it mooglik om bepaalde kernelfunksjonaliteiten direkt út te skeakeljen. De killswitch is bedoeld om nuttich te wêzen foar it tydlik blokkearjen fan kwetsberheden oant in kernel-update mei in fix ynstalleare is.
Killswitch wurdt kontroleare fia it bestân "/sys/kernel/security/killswitch/control", wêrmei jo it ûnderskeppen fan kernelfunksjeopropen kinne konfigurearje mei har nammen. Om bygelyks de kwetsberens fan Copy Fail te blokkearjen, foegje gewoan it kommando "engage af_alg_sendmsg -1" ta oan it kontrôlebestân om ûnderskepping fan 'e af_alg_sendmsg-funksjeoprop mooglik te meitsjen en de flaterkoade "-1" werom te jaan.
Alle tekens dy't stipe wurde troch it kprobes-subsysteem kinne brûkt wurde as nammen. In protte fan 'e koartlyn ûntdutsen serieuze kernelkwetsberens besteane yn subsystemen dy't brûkt wurde troch in relatyf lyts oantal brûkers (bygelyks AF_ALG, ksmbd, nf_tables, vsock, ax25). Foar de measte brûkers is it ûngemak fan it ferlies fan funksjonaliteit yn bepaalde funksjes it risiko net wurdich fan it brûken fan in kernel mei in bekende, net-patched kwetsberens oant in patch ynstalleare is. It killswitch-meganisme is foaral relevant yn 'e kontekst fan' e hjoeddeistige Dirty Frag-kwetsberens, wêrfoar in exploit publisearre waard foardat it probleem yn 'e kernel oplost waard.
Boarne: opennet.ru
