Linux yadrosining LTS filiallarini boshqaradigan va Linux Foundation maslahat kengashida ishlaydigan NVIDIA kompaniyasining Sasha Levin Linux yadrosi uchun killswitch mexanizmini amalga oshiruvchi bir qator yamalar tayyorladi. Taklif etilayotgan xususiyat yadroning ayrim funksiyalarini darhol o'chirib qo'yish imkonini beradi. Killswitch yadro yangilanishi tuzatilgunga qadar zaifliklarni vaqtincha blokirovka qilish uchun foydali bo'lishi mo'ljallangan.
Killswitch "/sys/kernel/security/killswitch/control" fayli orqali boshqariladi, bu sizga yadro funksiyasi chaqiruvlarini ularning nomlari bo'yicha ushlab olishni sozlash imkonini beradi. Masalan, Copy Fail zaifligini blokirovka qilish uchun af_alg_sendmsg funksiyasi chaqiruvini ushlab olishni yoqish uchun boshqaruv fayliga "engage af_alg_sendmsg -1" buyrug'ini qo'shing va buning o'rniga "-1" xato kodini qaytaring.
kprobes quyi tizimi tomonidan qo'llab-quvvatlanadigan har qanday belgilar nom sifatida ishlatilishi mumkin. Yaqinda aniqlangan jiddiy yadro zaifliklarining aksariyati nisbatan kam sonli foydalanuvchilar tomonidan ishlatiladigan quyi tizimlarda mavjud (masalan, AF_ALG, ksmbd, nf_tables, vsock, ax25). Ko'pgina foydalanuvchilar uchun ma'lum funktsiyalardagi funksionallikning yo'qolishi noqulayligi, yamoq o'rnatilmaguncha, ma'lum, yamoqlanmagan zaiflikka ega yadrodan foydalanish xavfiga arzimaydi. Killswitch mexanizmi, ayniqsa, yadroda muammo hal qilinmasdan oldin eksploit e'lon qilingan joriy Dirty Frag zaifligi kontekstida juda muhimdir.
Manba: opennet.ru
