Sasha Levin de la NVIDIA, care se ocupă de mentenanța ramurilor LTS ale kernelului Linux și face parte din consiliul consultativ al Fundației Linux, a pregătit un set de patch-uri care implementează un mecanism killswitch pentru kernelul Linux. Funcția propusă permite dezactivarea instantanee a anumitor funcționalități ale kernelului. Killswitch-ul este conceput să fie util pentru blocarea temporară a vulnerabilităților până la instalarea unei actualizări a kernelului cu o corecție.
Killswitch este controlat prin fișierul „/sys/kernel/security/killswitch/control”, care vă permite să configurați interceptarea apelurilor funcțiilor kernel după numele lor. De exemplu, pentru a bloca vulnerabilitatea Copy Fail, pur și simplu adăugați comanda „engage af_alg_sendmsg -1” în fișierul de control pentru a activa interceptarea apelului funcției af_alg_sendmsg și a returna în schimb codul de eroare „-1”.
Orice caractere acceptate de subsistemul kprobes pot fi folosite ca nume. Multe dintre vulnerabilitățile grave ale kernelului descoperite recent există în subsisteme utilizate de un număr relativ mic de utilizatori (de exemplu, AF_ALG, ksmbd, nf_tables, vsock, ax25). Pentru majoritatea utilizatorilor, inconvenientul pierderii funcționalității în anumite funcții nu merită riscul utilizării unui kernel cu o vulnerabilitate cunoscută, nepachetată, până când nu este instalat un patch. Mecanismul killswitch este deosebit de relevant în contextul actualei vulnerabilități Dirty Frag, pentru care a fost publicată o vulnerabilitate înainte ca problema să fie remediată în kernel.
Sursa: opennet.ru
