Sasha Levin iz podjetja NVIDIA, ki vzdržuje veje LTS jedra Linuxa in je član svetovalnega odbora fundacije Linux, je pripravil niz popravkov, ki implementirajo mehanizem killswitch za jedro Linuxa. Predlagana funkcija omogoča takojšnjo onemogočanje določenih funkcij jedra. Killswitch naj bi bil uporaben za začasno blokiranje ranljivosti, dokler ni nameščena posodobitev jedra s popravkom.
Funkcijo Killswitch upravlja datoteka »/sys/kernel/security/killswitch/control«, ki omogoča konfiguriranje prestrezanja klicev funkcij jedra po njihovih imenih. Če želite na primer blokirati ranljivost Copy Fail, preprosto dodajte ukaz »engage af_alg_sendmsg -1« v nadzorno datoteko, da omogočite prestrezanje klica funkcije af_alg_sendmsg in namesto tega vrnete kodo napake »-1«.
Kot imena se lahko uporabijo kateri koli znaki, ki jih podpira podsistem kprobes. Številne nedavno odkrite resne ranljivosti jedra obstajajo v podsistemih, ki jih uporablja relativno majhno število uporabnikov (npr. AF_ALG, ksmbd, nf_tables, vsock, ax25). Za večino uporabnikov nevšečnosti zaradi izgube funkcionalnosti pri določenih funkcijah niso vredne tveganja uporabe jedra z znano, nepopravljeno ranljivostjo, dokler ni nameščen popravek. Mehanizem killswitch je še posebej pomemben v kontekstu trenutne ranljivosti Dirty Frag, za katero je bila objavljena izkoriščevalska programska oprema, preden je bila težava odpravljena v jedru.
Vir: opennet.ru
