Linux ядросунун LTS бутактарын тейлеген жана Linux Foundation кеңеш берүүчү кеңешинде кызмат кылган NVIDIA компаниясынын Саша Левин Linux ядросу үчүн killswitch механизмин ишке ашырган бир катар патчтарды даярдады. Сунушталган функция ядронун айрым функцияларын заматта өчүрүүгө мүмкүндүк берет. Killswitch ядронун жаңыртуусу орнотулганга чейин алсыздыктарды убактылуу бөгөттөө үчүн пайдалуу болушу керек.
Killswitch "/sys/kernel/security/killswitch/control" файлы аркылуу башкарылат, ал сизге ядро функцияларын чакырууларды алардын аттары боюнча кармоону конфигурациялоого мүмкүндүк берет. Мисалы, Copy Fail аялуулугун бөгөттөө үчүн, af_alg_sendmsg функцияларын чакырууларды кармоону иштетүү үчүн башкаруу файлына "engage af_alg_sendmsg -1" буйругун кошуп, анын ордуна "-1" ката кодун кайтарыңыз.
kprobes субсистемасы тарабынан колдоого алынган каалаган символдорду аталыш катары колдонсо болот. Жакында эле аныкталган ядронун олуттуу алсыздыктарынын көбү салыштырмалуу аз сандагы колдонуучулар колдонгон субсистемаларда бар (мисалы, AF_ALG, ksmbd, nf_tables, vsock, ax25). Көпчүлүк колдонуучулар үчүн белгилүү бир функциялардагы функциялардын жоголушунун ыңгайсыздыгы, патч орнотулганга чейин белгилүү, патчталбаган алсыздыгы бар ядрону колдонуу тобокелчилигине татыктуу эмес. Killswitch механизми, айрыкча, ядродо көйгөй чечилгенге чейин эксплойт жарыяланган учурдагы Dirty Frag алсыздыгынын контекстинде актуалдуу.
Source: opennet.ru
