LKRG 0.7 მოდულის გამოშვება Linux-ის ბირთვში დაუცველობისგან დასაცავად

Openwall პროექტი გამოქვეყნებული ბირთვის მოდულის გამოშვება LKRG 0.7 (Linux Kernel Runtime Guard), რომელიც უზრუნველყოფს გაშვებულ ბირთვში არაავტორიზებული ცვლილებების გამოვლენას (ინტეგრაციის შემოწმება) ან მომხმარებლის პროცესების ნებართვების შეცვლის მცდელობას (ექსპლოიტების გამოყენების გამოვლენა). მოდული შესაფერისია როგორც Linux-ის ბირთვისთვის უკვე ცნობილი ექსპლოიტების წინააღმდეგ დაცვის ორგანიზებისთვის (მაგალითად, იმ სიტუაციებში, როდესაც რთულია სისტემაში ბირთვის განახლება), ასევე ჯერ უცნობი დაუცველობისთვის ექსპლოიტების დასაპირისპირებლად. LKRG-ის მახასიათებლების შესახებ შეგიძლიათ წაიკითხოთ აქ პროექტის პირველი განცხადება.

ახალ ვერსიაში ცვლილებებს შორის:

• კოდი რეფაქტორირებულია, რათა უზრუნველყოს სხვადასხვა CPU არქიტექტურის მხარდაჭერა. დამატებულია საწყისი მხარდაჭერა ARM64 არქიტექტურისთვის;
• თავსებადობა უზრუნველყოფილია Linux კერნელებთან 5.1 და 5.2, ისევე როგორც ბირთვებთან, რომლებიც აშენებულია CONFIG_DYNAMIC_DEBUG პარამეტრების გარეშე ბირთვის აშენებისას,
  CONFIG_ACPI და CONFIG_STACKTRACE და CONFIG_STATIC_USERMODEHELPER პარამეტრით აგებული ბირთვებით. დამატებულია ბირთვების ექსპერიმენტული მხარდაჭერა grsecurity პროექტისგან;

• ინიციალიზაციის ლოგიკა მნიშვნელოვნად შეიცვალა;
• მთლიანობის შემმოწმებელმა ხელახლა ჩართო თვითგამორკვევა და დააფიქსირა რბოლის მდგომარეობა Jump Label ძრავში (*_JUMP_LABEL), რომელიც იწვევს ჩიხს სხვა მოდულების ჩატვირთვის ან განტვირთვის მოვლენების ინიციალიზაციისას;
• ექსპლოიტის აღმოჩენის კოდში დაემატა ახალი sysctl lkrg.smep_panic (ჩართულია ნაგულისხმევად) და lkrg.umh_lock (ნაგულისხმევად გამორთული), დამატებულია SMEP/WP ბიტის დამატებითი შემოწმება, სისტემაში ახალი ამოცანების თვალთვალის ლოგიკა. შეიცვალა, გადაკეთდა ამოცანების რესურსებთან სინქრონიზაციის შიდა ლოგიკა, დაემატა OverlayFS მხარდაჭერა, მოთავსებულია Ubuntu Apport whitelist-ში.

წყარო: opennet.ru