NVIDIA 的 Sasha Levin 負責維護 Linux 核心的 LTS 分支,同時也是 Linux 基金會顧問委員會成員。他準備了一套補丁,為 Linux 核心實作一個「終止開關」(kill switch)機制。該機制允許立即停用某些核心功能。其目的是在安裝包含修復程式的核心更新之前,暫時阻止漏洞的利用。
核心終止開關由“/sys/kernel/security/killswitch/control”檔案控制,該檔案允許您按名稱配置核心函數呼叫的攔截。例如,要阻止複製失敗漏洞,只需將命令「engage af_alg_sendmsg -1」新增至控制檔中,即可啟用對 af_alg_sendmsg 函數呼叫的攔截,並傳回錯誤代碼「-1」。
kprobes 子系統支援的任何字元都可以用作名稱。許多近期發現的嚴重核心漏洞都存在於使用者數量相對較少的子系統中(例如 AF_ALG、ksmbd、nf_tables、vsock、ax25)。對於大多數用戶而言,某些功能喪失的不便遠大於在安裝修補程式之前使用已知未修復漏洞核心的風險。在目前 Dirty Frag 漏洞的背景下,終止開關機制尤其重要,因為該漏洞的利用程式在核心修復之前就已經被發布。
來源: opennet.ru
