Openwall-prosjekt utgivelse av kjernemodul (Linux Kernel Runtime Guard), som sikrer gjenkjenning av uautoriserte endringer i den kjørende kjernen (integritetssjekk) eller forsøk på å endre tillatelsene til brukerprosesser (oppdage bruk av utnyttelser). Modulen egner seg både for å organisere beskyttelse mot allerede kjente utnyttelser for Linux-kjernen (for eksempel i situasjoner der det er vanskelig å oppdatere kjernen i systemet), og for å motvirke utnyttelser for ennå ukjente sårbarheter. Du kan lese om funksjonene til LKRG i .
Blant endringene i den nye versjonen:
- Koden har blitt refaktorert for å gi støtte for ulike CPU-arkitekturer. Lagt til innledende støtte for ARM64-arkitektur;
- Kompatibilitet er sikret med Linux-kjerner 5.1 og 5.2, så vel som kjerner bygget uten å inkludere CONFIG_DYNAMIC_DEBUG-alternativene når du bygger kjernen,
CONFIG_ACPI og CONFIG_STACKTRACE, og med kjerner bygget med CONFIG_STATIC_USERMODEHELPER-alternativet. Lagt til eksperimentell støtte for kjerner fra grsecurity-prosjektet; - Initialiseringslogikken har blitt betydelig endret;
- Integritetskontrollen har aktivert selvhashing på nytt og eliminert en løpstilstand i Jump Label-motoren (*_JUMP_LABEL) som forårsaker dødlås ved initialisering samtidig med lasting eller lossing av andre moduler;
- I utnyttelsesdeteksjonskoden er ny sysctl lkrg.smep_panic (på som standard) og lkrg.umh_lock (av som standard) lagt til, ytterligere kontroller for SMEP/WP-biten er lagt til, logikken for å spore nye oppgaver i systemet har blitt endret, den interne logikken for synkronisering med oppgaveressurser har blitt redesignet, lagt til støtte for OverlayFS, plassert i Ubuntu Apport-hvitelisten.
Kilde: opennet.ru