El desarrollador Sasha Levin envió un parche al kernel de Linux que introduce 'killswitch', un nuevo mecanismo de mitigación que permite desactivar funciones vulnerables del núcleo de forma inmediata sin necesidad de reiniciar el sistema. La herramienta permite a administradores con privilegios escribir en /sys/kernel/security/killswitch/control comandos como 'engage af_alg_sendmsg -1' para hacer que una función retorne -EPERM sin ejecutar su código. El parche añade 19 archivos con más de 1.450 líneas de código, incluyendo documentación, configuración del kernel, implementación principal en kernel/killswitch.c y pruebas automatizadas. La funcionalidad está diseñada para abordar el período de exposición entre la publicación de una vulnerabilidad y el despliegue de parches corregidos en flotas de servidores. El mecanismo resulta especialmente útil para desactivar rutas de código de características poco utilizadas como AF_ALG, ksmbd, nf_tables o vsock, cuyo sacrificio tiene menor impacto que mantener un kernel vulnerable activo. El primer uso activa una marca de kernel 'H' en el indicador de contaminación, y la desactivación automática ocurre si el módulo que contiene la función objetivo es descargado. La característica depende de KPROBES y FUNCTION_ERROR_INJECTION.
Kernel de Linux incorpora 'killswitch' para desactivar funciones vulnerables al instante
