Kana dzikashandiswa, zvikanganiso izvi zvinogona kubvumira vanorwisa kuti vawane mukana usina mvumo kune ruzivo rwakadzama kana kuti kazhinji kukonzera matambudziko.
Zvekare, iyo Linux Kernel subsystem ine basa rekusefa nekugadzirisa mapaketi etiweki yakabatanidzwa mukuonekwa kwekusagadzikana. Uye Netfilter yave mwenje dzvuku, sezvo nhau dzezvinetso neiyi Linux chikamu chiri kugara ichiburitswa.
Panguva ino, kunetseka kwakaburitswa (yatonyorwa pasi peCVE-2024-1086) paNetfilter, izvo inobvumira mushandisi wemuno kuti aite kodhi padanho re kernel uye nekuwedzera maropafadzo muhurongwa. Dambudziko riri mukusunungurwa kaviri kwendangariro mune nf_tables module, iyo ine basa rekusefa mapaketi kuburikidza nenftables.
Nezve kusagadzikana zvinotaurwa kuti:
Dambudziko riri mubhugi mune nft_verdict_init () basa, iro rinobvumira maitiro akanaka kuti ashandiswe seDROP kukanganisa kodhi mumakoki, izvo zvinozoita kuti iyo nf_hook_slow () basa ridaidzwe kusunungura ndangariro kune buffer ine. yakatosunungurwa kare uchishandisa iyo yemahara () basa.
Ichi zvinoitika kana NF_DROP oparesheni yatadza uye kernel inotanga kududzira NF_DROP, asi zvino inosunungura buffer uye inodzorera NF_ACCEPT mamiriro. Nekuda kweizvozvo, kunyangwe nekusunungura buffer yakabatana nepakiti, kugadzirisa kwayo kunoenderera uye kunoendeswa kune mumwe mubato, iyo inodaidza iyo memory yekuburitsa basa zvakare.
Kuratidza kuti kusazvibata kunogona kushandiswa, muongorori wekuchengetedza akawana kusagadzikana uku uye akagadzira. muenzaniso wekushanda wekushandisa, iyo yakaratidzwa mushanduro dzazvino dzeDebian uye Ubuntu ine Linux kernels 5.14 kusvika 6.6.
Kubata uku kwakaedzwawo munzvimbo ine KernelCTF (Capture the Flag) kernel, iyo inosanganisira mamwe mapeche ekuvharisa nzira dzekushandisa uye inoshandiswa neGoogle muchirongwa chayo chekuwana kusagadzikana. Kubudirira kwekushandiswa kunofungidzirwa kuva 99,4%. Chinyorwa chinotevera chinopa tsananguro yakadzama yemaitiro ekugadzira yakaoma-akawanda-nhanho kushandiswa uye nzira yekunzvenga nzira dzekudzivirira uye nhanho dziripo mukernel kubata nezvinobatika.
Zvakakodzera kutaura izvozvo maererano nekucherechedza kwemuongorori, zvingangoita kuti shanduro dzose, sezvo kanenge shanduro ye Linux 5.14.21 kusvika kuvhezheni 6.6.14, vari panjodzi yekushandiswa, zvichienderana nemaitiro ekugadzirisa (kconfig). Mapazi akatsiga linux-5.15.y, linux-6.1.y, uye linux-6.6.y, uye pamwe linux-6.7.1, anobatwa nekushandiswa uku, sekucherechedzwa kwekunyora uku. Nekudaro, bugfix yakaburitswa muna Kukadzi 2024 kugadzirisa kusagadzikana uku mumapazi akagadzikana.
Izvo zvakakosha kuti uzive kuti iyo imwechete base yekumisikidza faira yakashandiswa kune akawanda base kernels, uye ese mavhezheni ataurwa anotarirwa nePoC bug. Iyo base inogadziriswa yakagadzirwa ne kernel-hardening-checker.
Uyezve, zvinozivikanwa kuti, kune vanilla kernels, shanduko yekumisikidza yakashandiswa CONFIG_INIT_ON_FREE_DEFAULT_ON sezvo yakanga yakaremara, izvo zvinobatsira kudzikisira chikamu chekushandisa nekuisa peji kuti rishaye mabhayiti mushure memahara. Zvisinei, CONFIG_INIT_ON_ALLOC_DEFAULT_ON inoramba ichishanda pakugovera kukuru kwakadai seKernelCTF, Ubuntu uye Debian, izvo zvinogona kukonzera maside effects akadai bad_page() kuonekwa pashanduro dzinotanga ne v6.4.0.
Chiyero chekubudirira kwekushandisa chinogara pa99,4%, paine dzimwe nguva inodonha kusvika 93,0% mune mamwe mamiriro. Kubudirira uku kunogona kusiyana zvishoma zvichienderana nebasa remuchina. Iko kushandiswa kunofungidzirwa kushanda kune imwe gadziriso kana yakabudirira mukuedza kwese kwekuyedza, uye kukundikana kwese kwakabatana kwakaongororwa uye kunyorwa. Izvi zvinoderedza mukana wezvipo zvenhema paunenge uchisimbisa kushanda kwekushandisa.
Chekupedzisira, zvinofanirwa kutaurwa izvo kugovera kwakawanda kwatova nechigamba chekugadzirisa uye kana iwe uchida kukwanisa kuziva zvakawanda nezvazvo, unogona kubvunza ruzivo Mune inotevera chinongedzo kana kuti pamapeji chaiwo ekugovera kumwe nokumwe, sekuti Debian, Ubuntu, Gentoo, RHEL, suse y Fedora.