В Linux предложили механизм «killswitch» для ядра после серии опасных уязвимостей

Сообщество разработчиков Linux обсуждает новый механизм экстренной защиты ядра, который получил неофициальное название «killswitch». Идея появилась после публикации нескольких критических уязвимостей, вызвавших серьёзное беспокойство среди администраторов и специалистов по безопасности.

На прошлой неделе стало известно о двух критических уязвимостях в ядре Linux, что вызвало серьёзную обеспокоенность в сообществе. В связи с этим разработчики сейчас рассматривают предложение о создании механизма экстренного отключения, который позволит снизить риски после публичного раскрытия информации о серьёзных уязвимостях.

Саша Левин, инженер NVIDIA и один из разработчиков стабильного ядра Linux, представил патч. Он позволяет системным администраторам временно отключать уязвимую функцию ядра в ожидании обновления системы безопасности.

Идея проста: если обнаружен опасный участок кода, ядру можно дать команду прекратить использование этой функции. Вместо обычного выполнения функция будет возвращать ошибку. Это не устранит основную проблему, но может заблокировать доступ к уязвимому участку до тех пор, пока не будет выпущено исправленное ядро.

Это предложение было выдвинуто после того, как стало известно о недавних уязвимостях в ядре Linux, в том числе о Copy Fail и Dirty Frag. Уязвимость Copy Fail особенно актуальна, поскольку в патче есть самотестирование со ссылкой на CVE-2026-31431, демонстрирующее, как killswitch может блокировать уязвимый путь AF_ALG.

Почему разработчики Linux задумались о killswitch

Причиной обсуждения стали недавние критические уязвимости ядра Linux, среди которых особенно выделяются Copy Fail и Dirty Frag.

Эти проблемы потенциально позволяют локальному пользователю повысить привилегии и получить root-доступ к системе. Подобные ошибки считаются особенно опасными, потому что они затрагивают само ядро операционной системы — наиболее привилегированный компонент Linux.

После публикации информации о таких уязвимостях злоумышленники начинают активно анализировать код и искать способы эксплуатации. При этом полноценные обновления ядра часто требуют времени:

• необходимо подготовить исправление;
• протестировать его;
• выпустить обновления для разных дистрибутивов;
• дождаться установки патча администраторами.

В этот промежуток времени системы остаются уязвимыми. Именно эту проблему и должен решить механизм killswitch.

Как будет работать новый механизм

Суть предложения достаточно проста. Если разработчики обнаруживают опасную функцию ядра, администратор сможет принудительно отключить её во время работы системы.

После активации killswitch выбранная функция перестанет выполняться и вместо обычной работы будет немедленно возвращать ошибку.

Таким образом:

• уязвимый код не будет исполняться;
• эксплуатация станет невозможной или значительно усложнится;
• система сможет продолжать работать до установки официального патча.

Важно понимать, что killswitch не исправляет саму уязвимость. Он лишь временно блокирует опасный путь выполнения кода.

По сути, речь идёт о своеобразной «изоляции» проблемной функции.

Какие компоненты Linux могут отключаться

Разработчики рассматривают возможность применения механизма в подсистемах, которые не являются критически важными для большинства серверов и рабочих станций.

Среди примеров упоминаются:

• AF_ALG;
• ksmbd;
• nf_tables;
• vsock;
• ax25.

Некоторые из этих компонентов используются только в специализированных сценариях.

Например, определённые серверы вообще не применяют подсистему AF_ALG или сетевые возможности ax25. В таком случае временное отключение функциональности будет менее опасным, чем эксплуатация критической уязвимости.

Именно поэтому механизм рассматривается как компромисс между безопасностью и стабильностью.

Почему это не полноценный live patching

Многие сравнили новую идею с live patching — технологией «живого» исправления ядра без перезагрузки системы.

Однако killswitch работает совершенно иначе.

Live patching:

• заменяет уязвимый код исправленным;
• сохраняет функциональность системы;
• устраняет саму проблему.

Killswitch:

• не исправляет код;
• не заменяет функцию;
• лишь запрещает выполнение уязвимого участка.

Поэтому установка полноценного обновления ядра всё равно останется обязательной.

Новый механизм рассматривается исключительно как временная мера защиты.

Главные риски и проблемы

Несмотря на полезность идеи, разработчики сразу предупредили о потенциальных рисках.

Главная проблема заключается в том, что отключение функций ядра может привести к непредсказуемым последствиям.

Например:

• может перестать работать часть сетевых сервисов;
• возможны ошибки приложений;
• некоторые подсистемы могут зависеть друг от друга;
• неправильное отключение способно вызвать нестабильность системы.

В текущем варианте патча отсутствуют автоматические проверки безопасности. Администратор сам должен понимать, можно ли отключать конкретную функцию без критических последствий.

Поэтому механизм явно не предназначен для обычных пользователей.

Предполагается, что его будут использовать:

• администраторы крупных серверов;
• DevOps-инженеры;
• команды информационной безопасности;
• корпоративные инфраструктуры.

Почему проблема уязвимостей Linux становится серьёзнее

Современное ядро Linux представляет собой огромный проект с миллионами строк кода и десятками тысяч изменений ежегодно.

С каждым годом сложность системы увеличивается:

• появляются новые драйверы;
• добавляются сетевые функции;
• расширяется поддержка виртуализации;
• развиваются контейнерные технологии;
• усложняется взаимодействие подсистем.

Исследования последних лет показывают, что скорость обнаружения уязвимостей продолжает расти. Особенно часто проблемы возникают в:

• сетевых подсистемах;
• механизмах работы с памятью;
• драйверах устройств;
• системах синхронизации потоков.

Дополнительную проблему создаёт задержка между раскрытием CVE и массовым развёртыванием исправлений. Исследователи отмечают, что старые версии ядра нередко получают патчи значительно медленнее новых веток.

На фоне растущего числа угроз идея временного отключения опасных функций выглядит всё более актуальной.

Как это может изменить безопасность Linux

Если механизм будет принят в основную ветку ядра, Linux получит новый уровень оперативной защиты.

Администраторы смогут:

• быстрее реагировать на критические CVE;
• снижать риски эксплуатации;
• защищать инфраструктуру до установки патчей;
• избегать срочных перезагрузок серверов.

Особенно полезным killswitch может стать для:

• облачных платформ;
• хостинг-провайдеров;
• корпоративных серверов;
• критически важных сервисов с высокой доступностью.

Однако разработчикам ещё предстоит решить множество вопросов:

• как безопасно отключать функции;
• как избежать побочных эффектов;
• какие подсистемы можно блокировать;
• как автоматизировать проверку совместимости.

Пока патч остаётся на стадии обсуждения и официально в ядро Linux ещё не включён.

Выводы

Предложение внедрить killswitch для ядра Linux стало реакцией на растущее количество серьёзных уязвимостей и проблему задержек при распространении обновлений безопасности.

Новый механизм не заменит полноценные патчи и live patching, однако может стать эффективным инструментом временной защиты инфраструктуры.

Если идея получит поддержку сообщества, Linux сможет быстрее реагировать на критические угрозы и уменьшить окно риска между публикацией CVE и установкой исправлений.

При этом использование такой функции потребует высокой квалификации администраторов, поскольку неправильное отключение компонентов ядра способно привести к серьёзным проблемам со стабильностью системы.

Часто задаваемые вопросы

Что такое killswitch для ядра Linux?

Это механизм, позволяющий временно отключать уязвимые функции ядра Linux до установки полноценного обновления безопасности.

Исправляет ли killswitch уязвимость?

Нет. Он лишь блокирует выполнение опасного кода, но не устраняет саму ошибку.

Чем killswitch отличается от live patching?

Live patching заменяет уязвимый код исправленным, а killswitch просто отключает выполнение функции.

Какие уязвимости стали причиной обсуждения?

Одними из главных причин стали недавние уязвимости Copy Fail и Dirty Frag, затрагивающие ядро Linux.

Может ли killswitch нарушить работу системы?

Да. Неправильное отключение функций ядра способно привести к ошибкам и нестабильности системы.

Когда механизм появится в Linux?

На данный момент патч находится на стадии обсуждения и ещё не принят в основную ветку ядра.

Редактор: AndreyEx