Openwall projekt kernel modul kiadás (Linux Kernel Runtime Guard), amely biztosítja a futó kernel illetéktelen módosításainak észlelését (integritásellenőrzés), vagy a felhasználói folyamatok engedélyeinek megváltoztatására irányuló kísérleteket (exploitok használatának észlelése). A modul alkalmas mind a Linux kernel már ismert exploitjai elleni védelem megszervezésére (például olyan helyzetekben, amikor nehézkes a kernel frissítése a rendszerben), mind pedig a még ismeretlen sebezhetőségek kizsákmányolásainak leküzdésére. Az LKRG szolgáltatásairól itt olvashat .
Az új verzió változásai között szerepel:
- A kódot úgy alakították át, hogy támogassa a különböző CPU architektúrákat. Hozzáadott kezdeti támogatás az ARM64 architektúrához;
- A kompatibilitás biztosított az 5.1-es és 5.2-es Linux kernelekkel, valamint olyan kernelekkel, amelyek a CONFIG_DYNAMIC_DEBUG opciók hozzáadása nélkül készültek a kernel felépítése során,
CONFIG_ACPI és CONFIG_STACKTRACE, valamint a CONFIG_STATIC_USERMODEHELPER opcióval épített kernelekkel. Kísérleti támogatás hozzáadva a grsecurity projekt magjaihoz; - Az inicializálási logika jelentősen megváltozott;
- Az integritás-ellenőrző újra engedélyezte az önkivonatolást, és kijavított egy versenyfeltételt a Jump Label motorban (*_JUMP_LABEL), amely holtpontot okoz, amikor az inicializálást más modulok be- vagy kiürítési eseményeivel egyidőben végzik.
- Az exploit észlelési kódban új sysctl lkrg.smep_panic (alapértelmezés szerint be) és lkrg.umh_lock (alapértelmezés szerint kikapcsolva) került hozzáadásra, további ellenőrzések kerültek hozzáadásra az SMEP/WP bithez, a rendszerben lévő új feladatok nyomon követésének logikája módosult, a feladat-erőforrásokkal való szinkronizálás belső logikája át lett tervezve, az OverlayFS támogatása hozzáadott, az Ubuntu Apport engedélyezőlistájára került.
Forrás: opennet.ru