Линукс цөмд (CVE-2022-21505) нэгэн эмзэг байдал илэрсэн бөгөөд энэ нь Lockdown хамгаалалтын механизмыг тойрч гарахад хялбар болгодог бөгөөд энэ нь үндсэн хэрэглэгчийн цөмд хандах хандалтыг хязгаарлаж, UEFI Secure Boot тойрч гарах замыг хаадаг. Үүнийг тойрч гарахын тулд тоон гарын үсэг, хэш ашиглан үйлдлийн системийн бүрэлдэхүүн хэсгүүдийн бүрэн бүтэн байдлыг шалгах зорилготой IMA (Integrity Measurement Architecture) цөмийн дэд системийг ашиглахыг санал болгож байна.
Түгжих горим нь /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes дебаг горим, mmiotrace, tracefs, BPF, PCMCIA CIS (Картын мэдээллийн бүтэц), зарим ACPI интерфэйсүүд болон CPU-д хандах хандалтыг хязгаарладаг. MSR регистр, kexec_file болон kexec_load дуудлагыг хаасан, унтах горимыг хориглосон, PCI төхөөрөмжүүдийн DMA хэрэглээг хязгаарласан, EFI хувьсагчаас ACPI кодыг импортлохыг хориглосон, тасалдлын дугаар болон I портыг өөрчлөх зэрэг оролтын гаралтын портуудыг ашиглахыг хориглосон. /O цуваа портын хувьд.
Эмзэг байдлын мөн чанар нь "ima_appraise=log" ачаалах параметрийг ашиглах үед системд Secure Boot горим идэвхгүй, Lockdown горимыг тусад нь ашигладаг бол цөмийн шинэ хуулбарыг ачаалахын тулд kexec руу залгах боломжтой юм. Үүнээс. IMA нь Secure Boot идэвхтэй үед "ima_appraise" горимыг идэвхжүүлэхийг зөвшөөрдөггүй боловч Lockdown-г Secure Boot-аас тусад нь ашиглах боломжийг тооцдоггүй.
Эх сурвалж: opennet.ru