NVIDIA pÄrstÄve SaÅ”a Levina, kura uztur Linux kodola LTS atzarus un darbojas Linux Foundation konsultatÄ«vajÄ padomÄ, ir sagatavojusi ielÄpu komplektu, kas ievieÅ” Linux kodola killswitch mehÄnismu. IerosinÄtÄ funkcija ļauj nekavÄjoties atspÄjot noteiktas kodola funkcijas. Killswitch mehÄnisms ir paredzÄts kÄ noderÄ«gs ievainojamÄ«bu Ä«slaicÄ«gai bloÄ·ÄÅ”anai, lÄ«dz tiek instalÄts kodola atjauninÄjums ar labojumu.
Funkciju Killswitch kontrolÄ fails "/sys/kernel/security/killswitch/control", kas ļauj konfigurÄt kodola funkciju izsaukumu pÄrtverÅ”anu pÄc to nosaukumiem. PiemÄram, lai bloÄ·Ätu kopÄÅ”anas kļūmes ievainojamÄ«bu, vienkÄrÅ”i pievienojiet vadÄ«bas failam komandu "engage af_alg_sendmsg -1", lai iespÄjotu funkcijas izsaukuma af_alg_sendmsg pÄrtverÅ”anu un atgrieztu kļūdas kodu "-1".
Jebkuras rakstzÄ«mes, ko atbalsta kprobes apakÅ”sistÄma, var izmantot kÄ nosaukumus. Daudzas no nesen atklÄtajÄm nopietnajÄm kodola ievainojamÄ«bÄm pastÄv apakÅ”sistÄmÄs, kuras izmanto relatÄ«vi neliels lietotÄju skaits (piemÄram, AF_ALG, ksmbd, nf_tables, vsock, ax25). LielÄkajai daļai lietotÄju neÄrtÄ«bas, kas saistÄ«tas ar funkcionalitÄtes zudumu noteiktÄs funkcijÄs, nav tÄ vÄrtas, lai riskÄtu, lietojot kodolu ar zinÄmu, neaizlÄpÄ«tu ievainojamÄ«bu, lÄ«dz tiek instalÄts ielÄps. Killswitch mehÄnisms ir Ä«paÅ”i svarÄ«gs paÅ”reizÄjÄs Dirty Frag ievainojamÄ«bas kontekstÄ, kuras izmantoÅ”anas apraksts tika publicÄts pirms problÄmas novÄrÅ”anas kodolÄ.
Avots: opennet.ru
