Linus Torvalds
Ja uzbrucējs panāk koda izpildi ar root tiesībām, viņš var izpildīt savu kodu kodola līmenī, piemēram, nomainot kodolu, izmantojot kexec vai lasīšanas/rakstīšanas atmiņu, izmantojot /dev/kmem. Šādas darbības acīmredzamākās sekas var būt
Sākotnēji saknes ierobežošanas funkcijas tika izstrādātas verificētās sāknēšanas aizsardzības stiprināšanas kontekstā, un izplatījumi jau ilgu laiku ir izmantojuši trešo pušu ielāpus, lai bloķētu UEFI Secure Boot apiešanu. Tajā pašā laikā šādi ierobežojumi netika iekļauti kodola galvenajā sastāvā, jo
Bloķēšanas režīms ierobežo piekļuvi /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes atkļūdošanas režīmam, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), dažām ACPI saskarnēm un centrālajam procesoram. MSR reģistri, kexec_file un kexec_load izsaukumi ir bloķēti, miega režīms ir aizliegts, DMA lietošana PCI ierīcēm ir ierobežota, ACPI koda importēšana no EFI mainīgajiem ir aizliegta,
Nav atļautas manipulācijas ar I/O portiem, tostarp pārtraukuma numura un I/O porta maiņa seriālajam portam.
Pēc noklusējuma bloķēšanas modulis nav aktīvs, tas tiek veidots, kad kconfig ir norādīta opcija SECURITY_LOCKDOWN_LSM un tiek aktivizēta, izmantojot kodola parametru “lockdown=”, vadības failu “/sys/kernel/security/lockdown” vai montāžas opcijas.
Ir svarīgi atzīmēt, ka bloķēšana ierobežo tikai standarta piekļuvi kodolam, bet neaizsargā pret modifikācijām, kas rodas ievainojamību izmantošanas rezultātā. Lai bloķētu izmaiņas darbošajā kodolā, kad Openwall projekts izmanto eksploatācijas
Avots: opennet.ru