ProHoster > Blog > vaovao amin'ny Internet > Famoahana ny module LKRG 0.9.2 mba hiarovana amin'ny fanararaotana ny vulnerability ao amin'ny kernel Linux

Famoahana ny module LKRG 0.9.2 mba hiarovana amin'ny fanararaotana ny vulnerability ao amin'ny kernel Linux

Ny tetikasa Openwall dia namoaka ny famoahana ny module kernel LKRG 0.9.2 (Linux Kernel Runtime Guard), natao hamantarana sy hanakanana ny fanafihana sy ny fanitsakitsahana ny fahamendrehan'ny rafitra kernel. Ohatra, ny module dia afaka miaro amin'ny fanovana tsy nahazoana alalana amin'ny kernel mandeha ary manandrana manova ny fahazoan-dΓ lana amin'ny fizotran'ny mpampiasa (famantarana ny fampiasana exploit). Ny maody dia mety tsara ho an'ny fandaminana fiarovana amin'ny fanararaotana ny vulnerabilities kernel Linux efa fantatra (ohatra, amin'ny toe-javatra sarotra ny manavao ny kernel ao amin'ny rafitra), ary amin'ny fanoherana ny fanararaotana ho an'ny vulnerability mbola tsy fantatra. Ny kaody tetikasa dia zaraina amin'ny alΓ lan'ny fahazoan-dΓ lana GPLv2. Azonao atao ny mamaky momba ny endriky ny fampiharana ny LKRG amin'ny fanambarana voalohany momba ny tetikasa.

Anisan'ny fiovana amin'ny dikan-teny vaovao:

  • ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½Π° ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΠΌΠΎΡΡ‚ΡŒ с ядрами Linux с 5.14 ΠΏΠΎ 5.16-rc, Π° Ρ‚Π°ΠΊΠΆΠ΅ с обновлСниями LTS-ядСр 5.4.118+, 4.19.191+ ΠΈ 4.14.233+.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΉ CONFIG_SECCOMP.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° ядра Β«nolkrgΒ» для Π΄Π΅Π°ΠΊΡ‚ΠΈΠ²Π°Ρ†ΠΈΠΈ LKRG Π½Π° этапС Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ.
  • УстранСно Π»ΠΎΠΆΠ½ΠΎΠ΅ срабатываниС ΠΈΠ·-Π·Π° состояния Π³ΠΎΠ½ΠΊΠΈ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ SECCOMP_FILTER_FLAG_TSYNC.
  • НалаТСна Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования настройки CONFIG_HAVE_STATIC_CALL Π² ядрах Linux 5.10+ для блокирования состояний Π³ΠΎΠ½ΠΊΠΈ ΠΏΡ€ΠΈ Π²Ρ‹Π³Ρ€ΡƒΠ·ΠΊΠ΅ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ.
  • ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ΠΎ сохранСниС Π² Π»ΠΎΠ³Π΅ ΠΈΠΌΡ‘Π½ ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ, Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈ использовании настройки lkrg.block_modules=1.
  • Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ Ρ€Π°Π·ΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ sysctl-настроСк Π² Ρ„Π°ΠΉΠ»Π΅ /etc/sysctl.d/01-lkrg.conf
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½ Ρ„Π°ΠΉΠ» ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ dkms.conf для систСмы DKMS (Dynamic Kernel Module Support), ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠΉ для сборки сторонних ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ послС обновлСния ядра.
  • Π£Π»ΡƒΡ‡ΡˆΠ΅Π½Π° ΠΈ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΎΡ‚Π»Π°Π΄ΠΎΡ‡Π½Ρ‹Ρ… сборок ΠΈ систСм Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠΉ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ.

Source: opennet.ru

Add a comment