Openwall Project kernel module release (Linux Kernel Runtime Guard), dy't soarget foar it opspoaren fan unautorisearre wizigingen oan 'e rinnende kernel (yntegriteitskontrôle) of besiket de tagongsrjochten fan brûkersprosessen te feroarjen (detecting fan it gebrûk fan eksploaten). De module is geskikt sawol foar it organisearjen fan beskerming tsjin al bekende eksploaten foar de Linux-kernel (bygelyks yn situaasjes wêr't it lestich is om de kernel yn it systeem te aktualisearjen), en foar it tsjingean fan eksploaten foar noch ûnbekende kwetsberens. Jo kinne lêze oer de funksjes fan LKRG yn .
Under de feroarings yn 'e nije ferzje:
- De koade is refactored om stipe te leverjen foar ferskate CPU-arsjitektuer. Inisjele stipe tafoege foar ARM64-arsjitektuer;
- Kompatibiliteit wurdt garandearre mei Linux-kernels 5.1 en 5.2, lykas kernels boud sûnder de CONFIG_DYNAMIC_DEBUG-opsjes op te nimmen by it bouwen fan de kernel,
CONFIG_ACPI en CONFIG_STACKTRACE, en mei kernels boud mei de CONFIG_STATIC_USERMODEHELPER opsje. Eksperimintele stipe tafoege foar kernels fan it grsecurity-projekt; - De inisjalisaasjelogika is signifikant feroare;
- De yntegriteitskontrôler hat sels-hashing opnij ynskeakele en in racebetingst fêststeld yn 'e Jump Label-motor (*_JUMP_LABEL) dy't deadlock feroarsaket by it initialisearjen tagelyk mei it laden of lossen fan eveneminten fan oare modules.
- Yn de eksploitaasje-deteksjekoade binne nije sysctl lkrg.smep_panic (standert oan) en lkrg.umh_lock (standert út) tafoege, ekstra kontrôles foar it SMEP/WP-bit binne tafoege, de logika foar it folgjen fan nije taken yn it systeem is feroare, de ynterne logika fan syngronisaasje mei taakboarnen is opnij ûntwurpen, stipe tafoege foar OverlayFS, pleatst yn 'e Ubuntu Apport whitelist.
Boarne: opennet.ru