Linux kernel (CVE-2022-21505) හි අවදානමක් හඳුනාගෙන ඇති අතර එමඟින් Lockdown ආරක්ෂණ යාන්ත්රණය මඟ හැරීම පහසු කරයි, එය කර්නලයට root පරිශීලක ප්රවේශය සීමා කරන අතර UEFI ආරක්ෂිත ඇරඹුම් බයිපාස් මාර්ග අවහිර කරයි. එය මඟ හැරීම සඳහා, ඩිජිටල් අත්සන් සහ හෑෂ් භාවිතයෙන් මෙහෙයුම් පද්ධති සංරචකවල අඛණ්ඩතාව තහවුරු කිරීම සඳහා නිර්මාණය කර ඇති IMA (අඛණ්ඩතා මැනුම් ගෘහ නිර්මාණ ශිල්පය) කර්නල් උප පද්ධතිය භාවිතා කිරීමට යෝජනා කෙරේ.
Lockdown මාදිලිය /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (කාඩ් තොරතුරු ව්යුහය), සමහර ACPI අතුරුමුහුණත් සහ CPU වෙත ප්රවේශය සීමා කරයි. MSR රෙජිස්ටර්, kexec_file සහ kexec_load ඇමතුම් අවහිර කර ඇත, නිද්රා ප්රකාරය තහනම් කර ඇත, PCI උපාංග සඳහා DMA භාවිතය සීමා කර ඇත, EFI විචල්ය වලින් ACPI කේත ආයාත කිරීම තහනම්ය, I/O ports සමඟ බාධා කිරීම් අංකය සහ වරාය I වෙනස් කිරීම ඇතුළුව හැසිරවීම් වලට ඉඩ නොදේ. අනුක්රමික වරාය සඳහා /O.
අවදානමේ සාරය නම්, “ima_appraise=log” ඇරඹුම් පරාමිතිය භාවිතා කරන විට, පද්ධතිය තුළ ආරක්ෂිත ඇරඹුම් මාදිලිය ක්රියාත්මක නොවන්නේ නම් සහ ලොක්ඩවුන් මාදිලිය වෙන වෙනම භාවිතා කරන්නේ නම්, කර්නලයේ නව පිටපතක් පැටවීමට kexec ඇමතීමට හැකි වීමයි. ඒකෙන්. Secure Boot සක්රිය විට IMA "ima_appraise" මාදිලිය සක්රීය කිරීමට ඉඩ නොදේ, නමුත් Secure Boot වෙතින් වෙන වෙනම Lockdown භාවිතා කිරීමේ හැකියාව සැලකිල්ලට නොගනී.
මූලාශ්රය: opennet.ru