Az NVIDIA munkatársa, Sasha Levin, a Linux kernel LTS ágainak karbantartója és a Linux Foundation tanácsadó testületének tagja, elkészített egy sor javítást, amelyek egy killswitch mechanizmust valósítanak meg a Linux kernelhez. A javasolt funkció lehetővé teszi bizonyos kernel-funkciók azonnali letiltását. A killswitch funkció célja, hogy ideiglenesen blokkolja a sebezhetőségeket, amíg egy javítást tartalmazó kernelfrissítés telepítésre nem kerül.
A killswitch függvényt a "/sys/kernel/security/killswitch/control" fájl vezérli, amely lehetővé teszi a kernel függvényhívások nevük szerinti lehallgatásának konfigurálását. Például a másolási hiba sebezhetőségének blokkolásához egyszerűen adja hozzá az "engage af_alg_sendmsg -1" parancsot a vezérlőfájlhoz, hogy engedélyezze az af_alg_sendmsg függvényhívás lehallgatását, és ehelyett a "-1" hibakódot adja vissza.
A kprobes alrendszer által támogatott bármely karakter használható névként. A nemrég felfedezett súlyos kernel sebezhetőségek közül sok viszonylag kis számú felhasználó által használt alrendszerekben található (pl. AF_ALG, ksmbd, nf_tables, vsock, ax25). A legtöbb felhasználó számára bizonyos funkciók elvesztéséből adódó kellemetlenség nem éri meg a kockázatot, hogy egy ismert, javítatlan sebezhetőséggel rendelkező kernelt használjanak, amíg egy javítást nem telepítenek. A killswitch mechanizmus különösen releváns a jelenlegi Dirty Frag sebezhetőség kontextusában, amelyre egy kihasználó kódot tettek közzé, mielőtt a problémát a kernelben kijavították volna.
Forrás: opennet.ru
