NVIDIAのSasha Levin氏は、LinuxカーネルのLTSブランチを管理し、Linux Foundationの諮問委員会メンバーも務めていますが、Linuxカーネルにキルスイッチ機構を実装する一連のパッチを用意しました。この提案された機能により、特定のカーネル機能を瞬時に無効化することが可能になります。キルスイッチは、修正を含むカーネルアップデートがインストールされるまで、脆弱性を一時的にブロックするのに役立つことを意図しています。
キルスイッチは「/sys/kernel/security/killswitch/control」ファイルで制御され、カーネル関数呼び出しを名前で指定してインターセプトするように設定できます。たとえば、コピー失敗の脆弱性をブロックするには、コマンド「engage af_alg_sendmsg -1」を制御ファイルに追加して、af_alg_sendmsg関数呼び出しのインターセプトを有効にし、代わりにエラーコード「-1」を返すようにします。
kprobesサブシステムでサポートされている文字はすべて名前として使用できます。最近発見された深刻なカーネルの脆弱性の多くは、比較的少数のユーザーが使用するサブシステム(AF_ALG、ksmbd、nf_tables、vsock、ax25など)に存在します。ほとんどのユーザーにとって、特定の機能で機能が失われるという不便さは、既知の未修正の脆弱性を持つカーネルをパッチが適用されるまで使用するリスクに見合うものではありません。キルスイッチ機構は、カーネルで問題が修正される前にエクスプロイトが公開された現在のDirty Fragの脆弱性の文脈で特に重要です。
出所: オープンネット.ru
