NVIDIAs Sasha Levin, som vedlikeholder LTS-grener av Linux-kjernen og sitter i Linux Foundations rådgivende styre, har utarbeidet et sett med oppdateringer som implementerer en killswitch-mekanisme for Linux-kjernen. Den foreslåtte funksjonen tillater umiddelbar deaktivering av visse kjernefunksjoner. Killswitchen er ment å være nyttig for midlertidig å blokkere sårbarheter inntil en kjerneoppdatering med en rettelse er installert.
Killswitch styres via filen «/sys/kernel/security/killswitch/control», som lar deg konfigurere avlytting av kjernefunksjonskall ved hjelp av navnene deres. For eksempel, for å blokkere Copy Fail-sårbarheten, legg ganske enkelt til kommandoen «engage af_alg_sendmsg -1» i kontrollfilen for å aktivere avlytting av af_alg_sendmsg-funksjonskallet og returnere feilkoden «-1» i stedet.
Alle tegn som støttes av kprobes-undersystemet kan brukes som navn. Mange av de nylig oppdagede alvorlige kjernesårbarhetene finnes i undersystemer som brukes av et relativt lite antall brukere (f.eks. AF_ALG, ksmbd, nf_tables, vsock, ax25). For de fleste brukere er ulempen med tap av funksjonalitet i visse funksjoner ikke verdt risikoen ved å bruke en kjerne med en kjent, uoppdatert sårbarhet før en oppdatering er installert. Killswitch-mekanismen er spesielt relevant i sammenheng med det nåværende Dirty Frag-sårbarheten, som det ble publisert en utnyttelse for før problemet ble løst i kjernen.
Kilde: opennet.ru
