NVIDIAs Sasha Levin, som underhåller LTS-grenar av Linuxkärnan och sitter i Linux Foundations rådgivande styrelse, har förberett en uppsättning patchar som implementerar en killswitch-mekanism för Linuxkärnan. Den föreslagna funktionen möjliggör omedelbar inaktivering av viss kärnfunktionalitet. Killswitchen är avsedd att vara användbar för att tillfälligt blockera sårbarheter tills en kärnuppdatering med en fix installeras.
Killswitch styrs via filen "/sys/kernel/security/killswitch/control", som låter dig konfigurera avlyssningen av kärnfunktionsanrop med hjälp av deras namn. För att till exempel blockera sårbarheten Copy Fail, lägg helt enkelt till kommandot "engage af_alg_sendmsg -1" i kontrollfilen för att aktivera avlyssning av af_alg_sendmsg-funktionsanropet och returnera felkoden "-1" istället.
Alla tecken som stöds av kprobes-undersystemet kan användas som namn. Många av de nyligen upptäckta allvarliga kärnsårbarheterna finns i undersystem som används av ett relativt litet antal användare (t.ex. AF_ALG, ksmbd, nf_tables, vsock, ax25). För de flesta användare är besväret med förlust av funktionalitet i vissa funktioner inte värt risken att använda en kärna med en känd, opatchad sårbarhet tills en patch är installerad. Killswitch-mekanismen är särskilt relevant i samband med den nuvarande Dirty Frag-sårbarheten, för vilken ett exploit publicerades innan problemet åtgärdades i kärnan.
Källa: opennet.ru
