Для ядра Linux предложен «аварийный выключатель», отключающий уязвимые функции в ожидании патча

2 часа назад / Технологии → Новости / Технологии

Если вы когда-либо испытывали беспокойство по поводу безопасности вашего компьютера в ожидании решения какой-либо уязвимости, то предложенное изменение ядра Linux может вас заинтересовать. Предложенный сотрудником Nvidia Сашей Левиным механизм, по сути, является аварийным выключателем, который может отключить некоторые функции в ожидании более официального решения.

Как заметил ресурс The Information, Левин пишет: «Аварийный выключатель позволяет привилегированному оператору заставить выбранную функцию ядра возвращать фиксированное значение без выполнения её тела, в качестве временного смягчения последствий ошибки безопасности, пока готовится настоящее исправление».

Левин отмечает, что когда проблема безопасности становится достоянием общественности, многие пользователи Linux технически становятся более уязвимыми до тех пор, пока патч не будет выпущен в мир. Вам, естественно, придётся проявлять повышенную бдительность и использовать аварийный выключатель вручную, когда проблемы становятся известны, но это даёт дополнительный контроль над вашей системой. Хотя основное внимание уделяется коммерческим пользователям, которые наиболее уязвимы, а не обычным пользователям Linux.

Левин продолжает: «Для большинства пользователей цена того, что „это семейство сокетов перестанет работать на день“, гораздо меньше, чем цена работы на ядре с известной уязвимостью до выхода исправления».

Этот аварийный выключатель был предложен всего через неделю после того, как исследователи обнаружили руткит-эксплойт под названием «Copyfail». По сути, эта уязвимость может повышать привилегии пользователя путём замены кода, и этот пользователь может использовать повышенные привилегии для атаки на машины. На Reddit, в разделе кибербезопасности, один пользователь говорит: «Этот скрипт до смешного прост в запуске и получении root-доступа».

Был период времени между обнаружением Copyfail и выпуском патчей, когда пользователи оставались более уязвимыми, чем раньше, и это идеальный вариант использования такого аварийного выключателя.

Разумеется, это не самое элегантное решение проблем, учитывая, что оно просто отключает части системы, но такой уровень детального контроля может быть полезен, особенно в руках и без того довольно дотошного сообщества Linux.

Однако не все полностью поддерживают эту идею, и это понятно. Один пользователь Reddit, набравший более 100 голосов, утверждает, что это «Полезно как крайняя мера смягчения последствий, но страшно, если люди будут относиться к этому как к патчу. Легко представить, как это сломает продуктивную среду самыми неожиданными способами».

Ещё более негативно настроенный пользователь утверждает, что это «функция безопасности, которая может быть хуже самой уязвимости».

Некоторые считают «ядерный вариант» слишком экстремальным, и даже когда он работает, это может побудить некоторых просто блокировать функции, вместо того чтобы по-настоящему патчить свою систему. И это не говоря уже о том, что пользователи могут с его помощью отключить процессы, которые, вероятно, не следует трогать. Похоже, что «ядерный вариант» может быть как хорошим, так и плохим, в зависимости от того, у кого находится кнопка.