NVIDIA atstovas Sasha Levinas, kuris prižiūri „Linux“ branduolio LTS atšakas ir yra „Linux Foundation“ patariamosios tarybos narys, parengė pataisų rinkinį, įdiegiantį „Linux“ branduolio „killswitch“ mechanizmą. Siūloma funkcija leidžia akimirksniu išjungti tam tikras branduolio funkcijas. „Killswitch“ mechanizmas skirtas laikinai blokuoti pažeidžiamumus, kol bus įdiegtas branduolio atnaujinimas su pataisa.
„Killswitch“ valdomas per failą „/sys/kernel/security/killswitch/control“, kuris leidžia konfigūruoti branduolio funkcijų iškvietimų perėmimą pagal jų pavadinimus. Pavyzdžiui, norėdami užblokuoti kopijavimo nesėkmės pažeidžiamumą, tiesiog pridėkite komandą „engage af_alg_sendmsg -1“ prie valdymo failo, kad būtų įjungtas „af_alg_sendmsg“ funkcijų iškvietimo perėmimas ir vietoj to būtų grąžintas klaidos kodas „-1“.
Bet kokie „kprobes“ posistemio palaikomi simboliai gali būti naudojami kaip pavadinimai. Daugelis neseniai atrastų rimtų branduolio pažeidžiamumų yra posistemėse, kurias naudoja palyginti nedidelis skaičius vartotojų (pvz., AF_ALG, ksmbd, nf_tables, vsock, ax25). Daugumai vartotojų nepatogumai dėl tam tikrų funkcijų praradimo nėra verti rizikos naudoti branduolį su žinoma, netaisyta spraga, kol nebus įdiegtas pataisymas. „Killswitch“ mechanizmas yra ypač aktualus dabartinės „Dirty Frag“ pažeidžiamumo kontekste, kurios išnaudojimo pavyzdys buvo paskelbtas dar prieš ištaisant problemą branduolyje.
Šaltinis: opennet.ru
