Proiect Openwall eliberarea modulului kernelului (Linux Kernel Runtime Guard), care asigură detectarea modificărilor neautorizate ale nucleului care rulează (verificarea integrității) sau încercările de modificare a permisiunilor proceselor utilizatorului (detectarea utilizării exploit-urilor). Modulul este potrivit atât pentru organizarea protecției împotriva exploit-urilor deja cunoscute pentru nucleul Linux (de exemplu, în situațiile în care este dificil să actualizați nucleul în sistem), cât și pentru contracararea exploit-urilor pentru vulnerabilități încă necunoscute. Puteți citi despre caracteristicile LKRG în .
Printre modificările din noua versiune:
- Codul a fost refactorizat pentru a oferi suport pentru diferite arhitecturi CPU. S-a adăugat suport inițial pentru arhitectura ARM64;
- Compatibilitatea este asigurată cu nucleele Linux 5.1 și 5.2, precum și cu nucleele construite fără a include opțiunile CONFIG_DYNAMIC_DEBUG la construirea nucleului,
CONFIG_ACPI și CONFIG_STACKTRACE și cu nuclee construite cu opțiunea CONFIG_STATIC_USERMODEHELPER. S-a adăugat suport experimental pentru nuclee din proiectul grsecurity; - Logica de inițializare a fost modificată semnificativ;
- Verificatorul de integritate a reactivat auto-hashingul și a eliminat o condiție de cursă din motorul Jump Label (*_JUMP_LABEL) care provoacă blocaj la inițializare în același timp cu evenimentele de încărcare sau descărcare ale altor module;
- În codul de detectare a exploatării, au fost adăugate noi sysctl lkrg.smep_panic (activat implicit) și lkrg.umh_lock (dezactivat implicit), au fost adăugate verificări suplimentare pentru bitul SMEP/WP, logica pentru urmărirea noilor sarcini în sistem a fost schimbată, logica internă a sincronizării cu resursele sarcinilor a fost reproiectată, a adăugat suport pentru OverlayFS, plasat în lista albă Ubuntu Apport.
Sursa: opennet.ru