ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ Linux kernel เบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ—เปˆเบฒเบ™เบ‚เป‰เบฒเบกเบ‚เปเป‰เบˆเปเบฒเบเบฑเบ”เบ‚เบญเบ‡เบฎเบนเบšเปเบšเบš Lockdown

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ Linux kernel เบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ—เปˆเบฒเบ™เบ‚เป‰เบฒเบกเบ‚เปเป‰เบˆเปเบฒเบเบฑเบ”เบ‚เบญเบ‡เบฎเบนเบšเปเบšเบš Lockdown

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป„เบ”เป‰เบ–เบทเบเบฅเบฐเบšเบธเป„เบงเป‰เปƒเบ™ Linux kernel (CVE-2022-21505) เบ—เบตเปˆเป€เบฎเบฑเบ”เปƒเบซเป‰เบกเบฑเบ™เบ‡เปˆเบฒเบเบ—เบตเปˆเบˆเบฐเบ‚เป‰เบฒเบกเบเบปเบ™เป„เบเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž Lockdown, เป€เบŠเบดเปˆเบ‡เบˆเปเบฒเบเบฑเบ”เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบฎเบฒเบเบ‚เบญเบ‡เบœเบนเป‰เปƒเบŠเป‰เบเบฑเบš kernel เปเบฅเบฐเบ•เบฑเบ™ UEFI Secure Boot bypass paths. เป€เบžเบทเปˆเบญเบ‚เป‰เบฒเบกเบกเบฑเบ™, เบกเบฑเบ™เบ–เบทเบเบชเบฐเป€เบซเบ™เบตเปƒเบซเป‰เปƒเบŠเป‰เบฅเบฐเบšเบปเบšเบเปˆเบญเบเบ‚เบญเบ‡ IMA (Integrity Measurement Architecture) kernel, เบ–เบทเบเบญเบญเบเปเบšเบšเบกเบฒเป€เบžเบทเปˆเบญเบเบงเบ”เบชเบญเบšเบ„เบงเบฒเบกเบชเบปเบกเบšเบนเบ™เบ‚เบญเบ‡เบญเบปเบ‡เบ›เบฐเบเบญเบšเบ‚เบญเบ‡เบฅเบฐเบšเบปเบšเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เป‚เบ”เบเปƒเบŠเป‰เบฅเบฒเบเป€เบŠเบฑเบ™เบ”เบดเบˆเบดเบ•เบญเบ™เปเบฅเบฐ hashes.

เป‚เปเบ”เบฅเบฑเบญเบเบˆเบณเบเบฑเบ”เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡ /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (เป‚เบ„เบ‡เบชเป‰เบฒเบ‡เบ‚เปเป‰เบกเบนเบ™เบšเบฑเบ”), เบšเบฒเบ‡เบชเปˆเบงเบ™เบ•เบดเบ”เบ•เปเปˆ ACPI เปเบฅเบฐ CPU เบเบฒเบ™เบฅเบปเบ‡เบ—เบฐเบšเบฝเบ™ MSR, kexec_file เปเบฅเบฐ kexec_load เบเบฒเบ™เป‚เบ—เบ–เบทเบเบšเบฅเบฑเบญเบ, เป‚เปเบ”เบเบฒเบ™เบ™เบญเบ™เบ–เบทเบเบซเป‰เบฒเบก, เปƒเบŠเป‰ DMA เบชเปเบฒเบฅเบฑเบšเบญเบธเบ›เบฐเบเบญเบ™ PCI เบ–เบทเบเบˆเบณเบเบฑเบ”, เบเบฒเบ™เบ™เปเบฒเป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ” ACPI เบˆเบฒเบเบ•เบปเบงเปเบ› EFI เปเบกเปˆเบ™เบ–เบทเบเบซเป‰เบฒเบก, เบเบฒเบ™เบซเบกเบนเบ™เปƒเบŠเป‰เบเบฑเบšเบžเบญเบ” I/O เปเบกเปˆเบ™เบšเปเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เปƒเบŠเป‰, เบฅเบงเบกเบ—เบฑเบ‡เบเบฒเบ™เบ›เปˆเบฝเบ™เปเบฒเบเป€เบฅเบเบ‚เบฑเบ”เบˆเบฑเบ‡เบซเบงเบฐ เปเบฅเบฐ เบžเบญเบ” I. /O เบชเปเบฒเบฅเบฑเบšเบžเบญเบ” serial.

เป‚เบ”เบเป€เบ™เบทเป‰เบญเปเบ—เป‰เปเบฅเป‰เบงเบ‚เบญเบ‡เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปเบกเปˆเบ™เบงเปˆเบฒเป€เบกเบทเปˆเบญเปƒเบŠเป‰ "ima_appraise = log" เบžเบฒเบฅเบฒเบกเบดเป€เบ•เบตเบšเบนเบ”, เบกเบฑเบ™เป€เบ›เบฑเบ™เป„เบ›เป„เบ”เป‰เบ—เบตเปˆเบˆเบฐเป‚เบ—เบซเบฒ kexec เป€เบžเบทเปˆเบญเป‚เบซเบฅเบ”เบชเปเบฒเป€เบ™เบปเบฒเปƒเบซเบกเปˆเบ‚เบญเบ‡ kernel เบ–เป‰เบฒเป‚เบซเบกเบ” Secure Boot เบšเปเปˆเป€เบฎเบฑเบ”เบงเบฝเบเบขเบนเปˆเปƒเบ™เบฅเบฐเบšเบปเบšเปเบฅเบฐเป‚เบซเบกเบ” Lockdown เบ–เบทเบเปƒเบŠเป‰เปเบเบเบ•เปˆเบฒเบ‡เบซเบฒเบ. เบˆเบฒเบเบกเบฑเบ™. IMA เบšเปเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เป€เบ›เบตเบ”เปƒเบŠเป‰เป‚เปเบ” โ€œima_appraiseโ€ เป€เบกเบทเปˆเบญ Secure Boot เป€เบฎเบฑเบ”เบงเบฝเบ, เปเบ•เปˆเบšเปเปˆเป„เบ”เป‰เบ„เบณเบ™เบถเบ‡เป€เบ–เบดเบ‡เบ„เบงเบฒเบกเป€เบ›เบฑเบ™เป„เบ›เป„เบ”เป‰เบ‚เบญเบ‡เบเบฒเบ™เปƒเบŠเป‰ Lockdown เปเบเบเบ•เปˆเบฒเบ‡เบซเบฒเบเบˆเบฒเบ Secure Boot.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™