NVIDIA 的 Sasha Levin 负责维护 Linux 内核的 LTS 分支,同时也是 Linux 基金会顾问委员会成员。他准备了一套补丁,为 Linux 内核实现一个“终止开关”(kill switch)机制。该机制允许立即禁用某些内核功能。其目的是在安装包含修复程序的内核更新之前,暂时阻止漏洞的利用。
内核终止开关由“/sys/kernel/security/killswitch/control”文件控制,该文件允许您按名称配置内核函数调用的拦截。例如,要阻止复制失败漏洞,只需将命令“engage af_alg_sendmsg -1”添加到控制文件中,即可启用对 af_alg_sendmsg 函数调用的拦截,并返回错误代码“-1”。
kprobes 子系统支持的任何字符都可以用作名称。许多近期发现的严重内核漏洞都存在于用户数量相对较少的子系统中(例如 AF_ALG、ksmbd、nf_tables、vsock、ax25)。对于大多数用户而言,某些功能丧失带来的不便远大于在安装补丁之前使用已知未修复漏洞内核的风险。在当前 Dirty Frag 漏洞的背景下,终止开关机制尤为重要,因为该漏洞的利用程序在内核修复之前就已经被发布。
来源: opennet.ru
