新しいプロセスがカーネル警告を引き起こした場合にプロセス内のすべてのスレッドを強制終了する「pkill_on_warn」と呼ばれるカーネルオプションが本日提案されました。
現在、プロセスがカーネル警告をトリガーしても、デフォルトではそのプロセスに影響はありません。 Linuxカーネルには、警告が発生したときにカーネルパニックを引き起こす「panic_on_warn」オプションがありますが、pkill_on_warnはやり過ぎではなく、少なくともシステムを稼働させ続けます。
セキュリティ研究者でLinuxカーネルの貢献者であるAlexanderPopovは、この新しいpkill_on_warnオプションを提案しました。 Popovはパッチ提案で、「セキュリティの観点から、カーネル警告メッセージは攻撃者に多くの有用な情報を提供します。多くのGNU/Linuxディストリビューションでは、特権のないユーザーがカーネルログを読み取ることができるため、攻撃者は脆弱性の悪用にカーネル警告情報リークを使用します。… pkill_on_warnブートパラメータを導入しましょう。このパラメータが設定されている場合、カーネルはカーネル警告を引き起こしたプロセス内のすべてのスレッドを強制終了します。この動作は、上記の安全性の観点から合理的です。カーネルのセキュリティにも役立ちます。システムがカーネル警告にぶつかるエクスプロイトプロセスを強制終了するため、強化されます。」
これによってデフォルトのカーネルの動作は変更されませんが、パッチがマージされた場合、pkill_on_warn=1でカーネルを起動すると、この新しい動作によってプロセスが強制終了され、カーネルの警告が発生します。
提案されたパッチは現在