Linus Torvalds kalebu ing rilis kernel Linux 5.4 sing bakal teka yaiku sakumpulan patch "", David Howells (Red Hat) lan Matthew Garrett (, dianggo ing Google) kanggo matesi akses pangguna root menyang kernel. Fungsi sing gegandhengan karo Lockdown kalebu ing modul LSM sing diisi kanthi opsional (), sing ndadekake alangi antarane UID 0 lan kernel, mbatesi fungsi tingkat rendah tartamtu.
Yen panyerang entuk eksekusi kode kanthi hak root, dheweke bisa nglakokake kode ing tingkat kernel, contone, kanthi ngganti kernel nggunakake kexec utawa maca / nulis memori liwat / dev / kmem. Konsekuensi sing paling jelas saka kegiatan kasebut bisa uga UEFI Secure Boot utawa njupuk data sensitif sing disimpen ing tingkat kernel.
Kaping pisanan, fungsi watesan root dikembangake ing konteks nguatake proteksi boot sing wis diverifikasi, lan distribusi wis nggunakake patch pihak katelu kanggo mblokir UEFI Secure Boot kanggo sawetara wektu. Ing wektu sing padha, watesan kasebut ora kalebu ing komposisi utama kernel amarga ing implementasine lan wedi gangguan kanggo sistem sing ana. Modul "lockdown" nyerep patch sing wis digunakake ing distribusi, sing dirancang maneh ing wangun subsistem kapisah sing ora ana gandhengane karo UEFI Secure Boot.
Mode Lockdown mbatesi akses menyang /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, mode debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktur Informasi Kartu), sawetara antarmuka ACPI lan CPU Register MSR, panggilan kexec_file lan kexec_load diblokir, mode turu dilarang, panggunaan DMA kanggo piranti PCI diwatesi, ngimpor kode ACPI saka variabel EFI dilarang,
Manipulasi karo aku / bandar O ora diijini, kalebu ngganti nomer interrupt lan aku / port O kanggo port serial.
Kanthi gawan, modul kunci ora aktif, dibangun nalika pilihan SECURITY_LOCKDOWN_LSM ditemtokake ing kconfig lan diaktifake liwat parameter kernel "lockdown =", file kontrol "/ sys / kernel / keamanan / kunci" utawa opsi perakitan , sing bisa njupuk nilai "integritas" lan "rahasia". Ing kasus sing sepisanan, fitur sing ngidini owah-owahan kanggo kernel sing mlaku saka ruang pangguna diblokir, lan ing kasus kapindho, fungsi sing bisa digunakake kanggo ngekstrak informasi sensitif saka kernel uga dipateni.
Wigati dimangerteni manawa kunci mung mbatesi akses standar menyang kernel, nanging ora nglindhungi modifikasi minangka akibat saka eksploitasi kerentanan. Kanggo mblokir owah-owahan ing kernel sing mlaku nalika eksploitasi digunakake dening proyek Openwall modul kapisah (Linux Kernel Runtime Guard).
Source: opennet.ru