Font Size

Cpanel

Linux Kernel Lockdown and UEFI Secure Boot

David Howells, Red Hat, veröffentlichte kürzlich die neueste Version seiner Linux Kernel Lockdown Patch-Reihe. Diese soll den Linux-Kernel vor Veränderung während der Laufzeit schützen. Das aktuelle Update aktiviert den Lockdown nun automatisch, falls das System mit aktivem UEFI Secure Boot gestartet wurde, und verhindert den Zugriff auf bestimmte Kernelschnittstellen. Software, welche von entsprechenden Schnittstellen bisher Gebrauch gemacht hat (oder musste), funktioniert somit nicht mehr zuverlässig.

Kees Cook, Entwickler bei Google, welcher auch an sicherheitsrelevanten Linux-Komponenten entwickelt, betont, dass mit diesen Patches auch der Root-Nutzer (UID-0) von Systemberechtigungen (Ring-0) getrennt wird. Dies stellt keine komplett neue Funktion dar und konnte größtenteils bereits durch vorhandene Linux-Module realisiert werden. Jedoch führt der Patch auch einige andere, durchaus strittige Funktionen ein - beispielsweise die bereits erwähnte implizite Verknüpfung des Lockdown-Mechanismus mit UEFI Secure Boot.

Nicht nur von Andy Lutomirski, der bereits mehrere logische Schwachstellen aufzeigte, ist skeptisch. Auch Linus Torvalds zeigt sich nicht überzeugt und schließt sich Andy auch hinsichtlich der Defizite funktionaler Aspekte an.