Kemungkinan memintas larangan memuatkan modul kernel yang dilaksanakan dalam peraturan SELinux yang disasarkan pada salah satu peranti yang dikaji telah ditunjukkan (ia tidak dinyatakan peranti mana yang kita bincangkan dan sejauh mana masalah mempengaruhi peraturan SELinux dalam perisian tegar dan pengedaran). Penyekatan modul dalam peraturan SELinux yang terlibat adalah berdasarkan menyekat akses kepada panggilan sistem finit_module, yang membolehkan memuatkan modul daripada fail dan digunakan dalam utiliti seperti insmod. Walau bagaimanapun, peraturan SELinux tidak mengambil kira panggilan sistem init_module, yang juga boleh digunakan untuk memuatkan modul kernel terus daripada penimbal dalam ingatan.
Untuk menunjukkan kaedah, eksploitasi prototaip telah disediakan yang membolehkan anda melaksanakan kod pada peringkat kernel dengan memuatkan modul anda dan melumpuhkan sepenuhnya perlindungan SELinux, jika anda mempunyai akses root kepada sistem yang dihadkan oleh SELinux.
Sumber: opennet.ru