В ядре Linux могут появиться «аварийные выключатели» для борьбы с критическими уязвимостями

Ядро операционной системы Linux может получить новую функцию, призванную временно защищать от высокоприоритетных уязвимостей до тех пор, пока не будут развернуты полноценные исправления. Эксперты предлагают внедрить механизм, позволяющий оперативно отключать проблемные функции ядра в случае обнаружения серьезных угроз.

Основные аспекты предложения

• Разработчики предложили механизм «аварийного выключателя» для временного отключения уязвимых функций ядра в режиме реального времени через интерфейс securityfs.
• Эта функция направлена на смягчение последствий серьезных уязвимостей, таких как Copy Fail и Dirty Frag, до появления официальных патчей, хотя и сопряжена с риском нестабильности системы.
• Предложение находится на рассмотрении сообщества и позиционируется как временная мера, не заменяющая полноценное исправление ошибок.

Механизм временной защиты

Один из со-разработчиков стабильного ядра Linux, Саша Левин, недавно предложил новый патч. Эта инициатива позволит системным администраторам временно отключать уязвимые функции ядра. В случае обнаружения вредоносного кода или критической уязвимости, пользователи смогут быстро отдать ядру команду не использовать такую функцию.

Хотя эта функция не устраняет первопричину проблемы, она, возвращая ошибку при попытке обращения к отключенному коду, способна предотвратить серьезный ущерб до выхода официального патча. Фактически, это своего рода «аптечка первой помощи», которая может остановить эскалацию проблемы с высокоприоритетными уязвимостями.

Принцип работы и потенциальные риски

В случае принятия патча, новая функция будет доступна через интерфейс securityfs ядра. Это позволит администраторам активировать «аварийные выключатели» для конкретных функций, делая их неработоспособными немедленно. Изменения вступят в силу во время работы системы (в режиме реального времени) и будут оставаться активными до тех пор, пока их не отключат вручную или пока система не будет перезагружена.

На первый взгляд, идея выглядит перспективной, однако на практике возникает множество сложностей, требующих решения. Отключение функции может нарушить работу всей системы или вызвать сбои в других ее частях. Более того, существует риск появления дополнительных уязвимостей из-за неожиданных взаимодействий.

Поэтому важно отметить, что эта функция не предназначена для повсеместного использования. Также стоит подчеркнуть, что она не может служить заменой для полноценного исправления ошибок посредством патчей.

Причины появления инициативы

По данным издания Linuxiac, идея предложенного патча возникла после раскрытия двух критических уязвимостей в ядре Linux — Copy Fail и Dirty Frag. Уязвимость Copy Fail была обнаружена в начале марта 2026 года и предоставляла злоумышленникам привилегированный доступ ко всем основным дистрибутивам Linux. Уязвимость Dirty Frag, в свою очередь, была выявлена в конце прошлой недели. Она также представляла собой уязвимость нулевого дня (то есть, на момент обнаружения не имела официальных исправлений), позволяющую получить права суперпользователя (root), что делало ее крайне опасной.

Текущий статус

Новая функция в настоящее время находится на рассмотрении сообщества разработчиков Linux и еще не была официально внедрена.