De Sasha Levin vun NVIDIA, deen d'LTS-Branchen vum Linux-Kernel verwalt a Member vum Berodungscomité vun der Linux Foundation ass, huet eng Rei vu Patches virbereet, déi e Killswitch-Mechanismus fir de Linux-Kernel implementéieren. Déi proposéiert Funktioun erlaabt et, bestëmmte Kernel-Funktiounen direkt auszeschalten. De Killswitch soll nëtzlech sinn, fir temporär Schwachstelle ze blockéieren, bis en Kernel-Update mat engem Fix installéiert ass.
Killswitch gëtt iwwer d'Datei "/sys/kernel/security/killswitch/control" gesteiert, déi et Iech erlaabt, d'Ofschafe vu Kernel-Funktiounsruff no hiren Nimm ze konfiguréieren. Zum Beispill, fir d'Copy Fail Schwachstelle ze blockéieren, füügt einfach de Kommando "engage af_alg_sendmsg -1" an d'Kontrolldatei bäi, fir d'Ofschafe vum af_alg_sendmsg Funktiounsruff z'erméiglechen an amplaz de Feelercode "-1" zréckzeginn.
All Zeechen, déi vum kprobes-Ënnersystem ënnerstëtzt ginn, kënnen als Nimm benotzt ginn. Vill vun de kierzlech entdeckte schwéiere Kernel-Schwachstellen existéieren a Subsystemer, déi vun enger relativ klenger Zuel vu Benotzer benotzt ginn (z.B. AF_ALG, ksmbd, nf_tables, vsock, ax25). Fir déi meescht Benotzer ass d'Onbequemlechkeet vum Funktionalitéitsverloscht a bestëmmte Funktiounen net de Risiko wäert, e Kernel mat enger bekannter, net gepatchter Schwachstelle ze benotzen, bis e Patch installéiert ass. De Killswitch-Mechanismus ass besonnesch relevant am Kontext vun der aktueller Dirty Frag-Schwachstelle, fir déi en Exploit publizéiert gouf, ier de Problem am Kernel geléist gouf.
Source: opennet.ru
