Un nuevo La opción del kernel se propuso hoy llamada”pkill_on_warn”que mataría todos los subprocesos en un proceso si ese proceso provocaba una advertencia del kernel.
Actualmente, cuando un proceso activa una advertencia del kernel, no hay impacto en ese proceso de forma predeterminada. El kernel de Linux tiene una opción”panic_on_warn”para provocar un pánico en el kernel cuando ocurre una advertencia, pero pkill_on_warn sería menos exagerado y al menos mantendría el sistema en funcionamiento.
El investigador de seguridad y colaborador del kernel de Linux, Alexander Popov, propuso esta nueva opción pkill_on_warn. Popov argumentó en la propuesta de parche:”Desde el punto de vista de la seguridad, los mensajes de advertencia del kernel brindan mucha información útil para los atacantes. Muchas distribuciones de GNU/Linux permiten a los usuarios sin privilegios leer el registro del kernel, por lo que los atacantes usan la información de advertencia del kernel en exploits de vulnerabilidad…. Introduzcamos el parámetro de arranque pkill_on_warn. Si se establece este parámetro, el kernel mata todos los subprocesos en un proceso que provocó una advertencia del kernel. Este comportamiento es razonable desde el punto de vista de seguridad descrito anteriormente. También es útil para la seguridad del kernel endurecimiento porque el sistema mata un proceso de explotación que golpea una advertencia del kernel”.
Esto no cambiaría el comportamiento predeterminado del kernel, pero si/cuando el parche se fusiona, arrancar el kernel con pkill_on_warn=1 habilitaría este nuevo comportamiento para matar los procesos que causan advertencias del kernel.
El parche propuesto se encuentra actualmente en la lista de correo del kernel a>.