Sasha Levin của NVIDIA, người duy trì các nhánh LTS của nhân Linux và là thành viên hội đồng cố vấn của Linux Foundation, đã chuẩn bị một bộ bản vá triển khai cơ chế ngắt khẩn cấp (killswitch) cho nhân Linux. Tính năng được đề xuất cho phép vô hiệu hóa tức thời một số chức năng nhất định của nhân. Cơ chế ngắt khẩn cấp này nhằm mục đích tạm thời ngăn chặn các lỗ hổng cho đến khi bản cập nhật nhân có bản vá được cài đặt.
Killswitch được điều khiển thông qua tệp "/sys/kernel/security/killswitch/control", cho phép bạn cấu hình việc chặn các lệnh gọi hàm kernel theo tên của chúng. Ví dụ, để chặn lỗ hổng Copy Fail, chỉ cần thêm lệnh "engage af_alg_sendmsg -1" vào tệp điều khiển để cho phép chặn lệnh gọi hàm af_alg_sendmsg và trả về mã lỗi "-1".
Bất kỳ ký tự nào được hệ thống con kprobes hỗ trợ đều có thể được sử dụng làm tên. Nhiều lỗ hổng bảo mật nghiêm trọng trong nhân hệ điều hành được phát hiện gần đây tồn tại trong các hệ thống con được sử dụng bởi một số lượng người dùng tương đối nhỏ (ví dụ: AF_ALG, ksmbd, nf_tables, vsock, ax25). Đối với hầu hết người dùng, sự bất tiện do mất chức năng ở một số chức năng nhất định không đáng để mạo hiểm sử dụng nhân hệ điều hành có lỗ hổng đã biết nhưng chưa được vá cho đến khi bản vá được cài đặt. Cơ chế ngắt khẩn cấp (killswitch) đặc biệt quan trọng trong bối cảnh lỗ hổng Dirty Frag hiện tại, mà một công cụ khai thác đã được công bố trước khi vấn đề được khắc phục trong nhân hệ điều hành.
Nguồn: opennet.ru
