Confira !!
Uma nova opção de kernel foi proposta hoje chamada "pkill_on_warn" que mataria todos os threads em um processo se aquele processo provocasse um aviso do kernel.
Atualmente, quando um processo dispara um aviso de kernel, não há impacto nesse processo por padrão. O kernel do Linux tem uma opção "panic_on_warn" para causar um kernel panic quando um aviso acontece, mas pkill_on_warn seria menos exagero e pelo menos manteria o sistema instalado e funcionando.
O pesquisador de segurança e contribuidor do kernel do Linux Alexander Popov propôs esta nova opção pkill_on_warn. Popov argumentou na proposta do patch, "Do ponto de vista da segurança, as mensagens de aviso do kernel fornecem muitas informações úteis para os invasores. Muitas distribuições GNU / Linux permitem que usuários sem privilégios leiam o log do kernel, então os invasores usam o infoleak de aviso do kernel em explorações de vulnerabilidade ... Vamos apresentar o parâmetro de inicialização pkill_on_warn. Se este parâmetro for definido, o kernel elimina todos os threads em um processo que provocou um aviso do kernel. Este comportamento é razoável do ponto de vista da segurança descrito acima. Também é útil para fortalecer a segurança do kernel porque o sistema elimina um processo de exploração que atinge um aviso do kernel. "
Isso não mudaria o comportamento padrão do kernel, mas se / quando o patch fosse mesclado, inicializar o kernel com pkill_on_warn = 1 habilitaria esse novo comportamento para matar processos que causam avisos do kernel.
O patch proposto está atualmente na lista de discussão do kernel .
Até a próxima !!
Nenhum comentário:
Postar um comentário