Sasha Levin, de NVIDIA, que mantén as ramas LTS do kernel de Linux e forma parte do consello asesor da Fundación Linux, preparou un conxunto de parches que implementan un mecanismo de bloqueo de vulnerabilidades para o kernel de Linux. A característica proposta permite a desactivación instantánea de certas funcionalidades do kernel. O bloqueo de vulnerabilidades está pensado para ser útil para bloquear temporalmente vulnerabilidades ata que se instale unha actualización do kernel cunha corrección.
O Killswitch contrólase mediante o ficheiro "/sys/kernel/security/killswitch/control", que permite configurar a intercepción das chamadas a funcións do kernel polos seus nomes. Por exemplo, para bloquear a vulnerabilidade Copy Fail, simplemente engade o comando "engage af_alg_sendmsg -1" ao ficheiro de control para activar a intercepción da chamada a función af_alg_sendmsg e devolver o código de erro "-1".
Calquera carácter compatible co subsistema kprobes pode empregarse como nome. Moitas das vulnerabilidades graves do kernel descubertas recentemente existen en subsistemas empregados por un número relativamente pequeno de usuarios (por exemplo, AF_ALG, ksmbd, nf_tables, vsock, ax25). Para a maioría dos usuarios, a inconveniencia da perda de funcionalidade en certas funcións non compensa o risco de usar un kernel cunha vulnerabilidade coñecida e sen parchear ata que se instale un parche. O mecanismo killswitch é particularmente relevante no contexto da vulnerabilidade actual Dirty Frag, para a que se publicou un exploit antes de que o problema se corrixise no kernel.
Fonte: opennet.ru
