Саша Левин из компаније NVIDIA, који одржава LTS гране Линукс кернела и члан је саветодавног одбора Линукс фондације, припремио је сет закрпа које имплементирају механизам „killswitch“ за Линукс кернел. Предложена функција омогућава тренутно онемогућавање одређених функционалности кернела. „killswitch“ је намењен да буде користан за привремено блокирање рањивости док се не инсталира ажурирање кернела са исправком.
Килсвич се контролише путем датотеке „/sys/kernel/security/killswitch/control“, која вам омогућава да конфигуришете пресретање позива функција језгра по њиховим именима. На пример, да бисте блокирали рањивост „Copy Fail“, једноставно додајте команду „engage af_alg_sendmsg -1“ у контролну датотеку да бисте омогућили пресретање позива функције af_alg_sendmsg и уместо тога вратили код грешке „-1“.
Било који знакови које подржава kprobes подсистем могу се користити као имена. Многе од недавно откривених озбиљних рањивости језгра постоје у подсистемима које користи релативно мали број корисника (нпр. AF_ALG, ksmbd, nf_tables, vsock, ax25). За већину корисника, непријатност губитка функционалности у одређеним функцијама није вредна ризика коришћења језгра са познатом, неисправљеном рањивошћу док се не инсталира закрпа. Механизам „killswitch“ је посебно релевантан у контексту тренутне рањивости „Dirty Frag“, за коју је објављен експлоит пре него што је проблем решен у језгру.
Извор: опеннет.ру
