Sasha Levin iz NVIDIA-e, koji održava LTS grane Linux kernela i član je savjetodavnog odbora Linux Foundationa, pripremio je skup zakrpa koje implementiraju mehanizam killswitch za Linux kernel. Predložena značajka omogućuje trenutno onemogućavanje određenih funkcionalnosti kernela. Killswitch je namijenjen privremenom blokiranju ranjivosti dok se ne instalira ažuriranje kernela s ispravkom.
Killswitch se kontrolira putem datoteke "/sys/kernel/security/killswitch/control", koja vam omogućuje konfiguriranje presretanja poziva funkcija kernela prema njihovim imenima. Na primjer, da biste blokirali ranjivost Copy Fail, jednostavno dodajte naredbu "engage af_alg_sendmsg -1" u kontrolnu datoteku kako biste omogućili presretanje poziva funkcije af_alg_sendmsg i umjesto toga vratili kod pogreške "-1".
Kao imena mogu se koristiti bilo koji znakovi koje podržava kprobes podsustav. Mnoge od nedavno otkrivenih ozbiljnih ranjivosti kernela postoje u podsustavima koje koristi relativno mali broj korisnika (npr. AF_ALG, ksmbd, nf_tables, vsock, ax25). Za većinu korisnika, neugodnost gubitka funkcionalnosti u određenim funkcijama nije vrijedna rizika korištenja kernela s poznatom, nezakrpanom ranjivošću dok se ne instalira zakrpa. Mehanizam killswitch posebno je relevantan u kontekstu trenutne ranjivosti Dirty Frag, za koju je objavljena ranjivost prije nego što je problem ispravljen u kernelu.
Izvor: opennet.ru
