- メンテナーはsecurityfsを介して実行時に脆弱なカーネル関数を一時的に無効化するキルスイッチメカニズムを提案しました
- この機能は、パッチが到着するまでCopy FailやDirty Fragのような高い重大度の欠陥を軽減することを目指していますが、システムの不安定性のリスクがあります
- コミュニティレビュー中であり、適切なパッチの代替ではなく、一時的な対応策として位置付けられています
Linuxカーネルは、パッチが展開されるまで高度な重大度の脆弱性に対する一時的な保護として機能する新しい機能がまもなく搭載される可能性があります。
Linux安定カーネルの共同メンテナーの1人であるSasha Levinは、最近提案した新しいパッチにより、システム管理者は脆弱なカーネル関数を一時的に無効化できるようになります。
このように、セキュリティ研究者が将来悪意のあるコードを発見した場合、ユーザーはカーネルにそれを使用しないよう迅速に指示できます。この機能は根本的な問題に対処するものではありませんが、関数がエラーを返すため、適切なパッチが展開される前に脆弱性が深刻な害をもたらすのを防ぐことができます。
良い考え、しかし(機能しない)?
採用された場合、この機能はカーネルのsecurityfsインターフェースを通じて利用可能になり、特定の関数のキルスイッチを有効にして、それらを即座に使用不可にできるようになります。変更は実行時に有効になり、無効になるか、システムが再起動されるまで有効なままです。
見た目上は、この考えは良いものです。実際には、対処する必要がある多くの課題と関連部分があります。関数が無効になると、システム全体が破壊されたり、他の部分がクラッシュしたりする可能性があります。また、追加の脆弱性が生じる可能性もあります。
したがって、この機能が一般的な用途のために想像されているのではないことに注意することが重要です。また、この機能がパッチの代替として機能することはできないことは注目に値します。
それにもかかわらず、高度な重大度の脆弱性とのさらなるエスカレーションを防ぐための堅実な応急処置キットになる可能性があります。
Linuxiacによると、提案されたパッチのアイデアは2つの重大なLinuxカーネル脆弱性の開示後に生まれました。これらはCopy FailおよびDirty Fragです。前者は2026年3月初旬に発見され、悪質な行為者に全てのメジャーLinuxディストリビューション全体で特権アクセスを付与していました。後者は先週遅くに発見されました。これもゼロデイで、ルート権限を許可していますが、開示の時点では、パッチがなく非常に危険な状態でした。
新しい機能は現在Linuxコミュニティによってレビュー中であり、まだ導入されていません。
