די לינוקס 5.4 קערן האט באקומען פּאַטשאַז צו באַגרענעצן וואָרצל אַקסעס צו די קערן ינטערנאַלס

לינוס טאָרוואַלדס אנגענומען אַרייַנגערעכנט אין די אַפּקאַמינג מעלדונג פון די Linux 5.4 קערן איז אַ סכום פון פּאַטשאַז "lockdown« פארגעלייגט David Howells (Red Hat) און Matthew Garrett (מתיא גאַריט, אַרבעט ביי Google) צו באַגרענעצן וואָרצל באַניצער אַקסעס צו די קערן. לאַקדאַון-פֿאַרבונדענע פאַנגקשאַנאַליטי איז אַרייַנגערעכנט אין אַ אָפּטיאָנאַללי לאָודיד LSM מאָדולע (לינוקס זיכערהייט מאָדולע), וואָס שטעלן אַ שלאַבאַן צווישן UID 0 און די קערן, ריסטריקטינג זיכער נידעריק-מדרגה פאַנגקשאַנאַליטי.

אויב אַ אַטאַקער אַטשיווז קאָד דורכפירונג מיט וואָרצל רעכט, ער קענען ויספירן זיין קאָד אויף די קערן מדרגה, למשל, דורך ריפּלייסינג די קערן ניצן קעקסעק אָדער לייענען / שרייבן זכּרון דורך /dev/kmem. די מערסט קלאָר ווי דער טאָג קאַנסאַקוואַנס פון אַזאַ טעטיקייט קען זיין אָנוועג UEFI Secure Boot אָדער ריטריווינג שפּירעוודיק דאַטן סטאָרד אויף די קערן מדרגה.

טכילעס, וואָרצל ריסטריקשאַן פאַנגקשאַנז זענען דעוועלאָפּעד אין דעם קאָנטעקסט פון פֿאַרשטאַרקונג די שוץ פון וועראַפייד שטיוול, און דיסטריביושאַנז האָבן שוין ניצן דריט-פּאַרטיי פּאַטשאַז צו פאַרשפּאַרן בייפּאַס פון UEFI Secure Boot פֿאַר גאַנץ עטלעכע מאָל. אין דער זעלביקער צייַט, אַזאַ ריסטריקשאַנז זענען נישט אַרייַנגערעכנט אין די הויפּט זאַץ פון די קערן רעכט צו דיסאַגרימאַנץ אין זייער ימפּלאַמענטיישאַן און פירז פון דיסראַפּשאַן צו יגזיסטינג סיסטעמען. די "לאַקדאַון" מאָדולע אַבזאָרבד פּאַטשאַז שוין געניצט אין דיסטריביושאַנז, וואָס זענען רידיזיינד אין די פאָרעם פון אַ באַזונדער סאַבסיסטאַם ניט טייד צו UEFI Secure Boot.

לאַקדאַון מאָדע ריסטריקץ אַקסעס צו /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), עטלעכע ACPI ינטערפייסיז און קפּו MSR רעדזשיסטערז, kexec_file און kexec_load קאַללס זענען אפגעשטעלט, שלאָפן מאָדע איז פּראָוכיבאַטאַד, DMA נוצן פֿאַר PCI דעוויסעס איז לימיטעד, ACPI קאָד אַרייַנפיר פון EFI וועריאַבאַלז איז פּראָוכיבאַטאַד,
מאַניפּיאַליישאַנז מיט י / אָ פּאָרץ זענען נישט ערלויבט, אַרייַנגערעכנט טשאַנגינג די יבעררייַס נומער און י / אָ פּאָרט פֿאַר די סיריאַל פּאָרט.

דורך פעליקייַט, די לאַקדאַון מאָדולע איז נישט אַקטיוו, עס איז געבויט ווען די SECURITY_LOCKDOWN_LSM אָפּציע איז ספּעסיפיעד אין kconfig און איז אַקטיווייטיד דורך די קערן פּאַראַמעטער "לאַקדאַון =", די קאָנטראָל טעקע "/sys/kernel/security/lockdown" אָדער פֿאַרזאַמלונג אָפּציעס LOCK_DOWN_KERNEL_FORCE_*, וואָס קענען נעמען די וואַלועס "אָרנטלעכקייַט" און "קאַנפאַדענשיאַלאַטי". אין דער ערשטער פאַל, פֿעיִקייטן וואָס לאָזן ענדערונגען צו די פליסנדיק קערן פֿון באַניצער פּלאַץ זענען אפגעשטעלט, און אין די צווייטע פאַל, פאַנגקשאַנאַליטי וואָס קענען זיין געוויינט צו עקסטראַקט שפּירעוודיק אינפֿאָרמאַציע פון ​​די קערן איז אויך פאַרקריפּלט.

עס איז וויכטיק צו טאָן אַז לאַקדאַון בלויז לימאַץ נאָרמאַל אַקסעס צו די קערן, אָבער טוט נישט באַשיצן קעגן מאָדיפיקאַטיאָנס ווי אַ רעזולטאַט פון עקספּלויטיישאַן פון וואַלנעראַביליטיז. צו פאַרשפּאַרן ענדערונגען צו די פליסנדיק קערן ווען עקספּלויץ זענען געניצט דורך די Openwall פּרויעקט איז דעוועלאָפּינג באַזונדער מאָדולע LKRG (לינוקס קערנעל רונטימע גאַרד).

מקור: opennet.ru