Openwall projektas branduolio modulio leidimas (Linux Kernel Runtime Guard), kuri užtikrina neteisėtų veikiančio branduolio pakeitimų aptikimą (vientisumo patikra) arba bandymus pakeisti vartotojo procesų leidimus (išnaudojimų naudojimo aptikimą). Modulis tinkamas tiek apsaugai nuo jau žinomų Linux branduolio išnaudojimų organizuoti (pavyzdžiui, kai sunku atnaujinti branduolį sistemoje), tiek kovoti su dar nežinomų pažeidžiamumų išnaudojimais. Apie LKRG ypatybes galite perskaityti .
Tarp naujos versijos pakeitimų:
- Kodas buvo pertvarkytas, kad būtų galima palaikyti įvairias procesoriaus architektūras. Pridėtas pradinis ARM64 architektūros palaikymas;
- Suderinamumas užtikrinamas su Linux branduoliais 5.1 ir 5.2, taip pat branduoliais, sukurtais neįtraukiant CONFIG_DYNAMIC_DEBUG parinkčių kuriant branduolį,
CONFIG_ACPI ir CONFIG_STACKTRACE, ir su branduoliais, sukurtais naudojant CONFIG_STATIC_USERMODEHELPER parinktį. Pridėtas eksperimentinis branduolių palaikymas iš grsecurity projekto; - Inicijuojimo logika buvo gerokai pakeista;
- Vientisumo tikrintuvas iš naujo įgalino savaiminę maišą ir ištaisė lenktynių sąlygą Jump Label variklyje (*_JUMP_LABEL), kuri sukelia aklavietę inicijuojant tuo pačiu metu, kai įkeliami arba iškraunami kiti moduliai;
- Išnaudojimo aptikimo kode buvo pridėta naujų sysctl lkrg.smep_panic (įjungta pagal numatytuosius nustatymus) ir lkrg.umh_lock (išjungta pagal numatytuosius nustatymus), pridėtos papildomos SMEP/WP bito patikros, naujų užduočių sistemoje sekimo logika. buvo pakeista, buvo perkurta vidinė sinchronizavimo su užduočių ištekliais logika, pridėtas OverlayFS palaikymas, įtrauktas į Ubuntu Apport baltąjį sąrašą.
Šaltinis: opennet.ru