Linux 커널 취약점은 배포판에 사전 알림이 가지 않는다

Context

Linux Kernel의 AF_ALG 서브시스템 내 Page Cache Poisoning 취약점으로 인해 임의의 권한 상승이 가능한 구조적 결함 발견. Kernel Security Team과 Downstream 배포판 Maintainer 간의 사전 소통 채널 부재로 인한 패치 배포 전 Exploit 공개라는 거버넌스 공백 발생.

Technical Solution

• Page Cache 조작을 통한 ld.so 훅킹 또는 UID 0 변경으로 Root 권한을 획득하는 공격 벡터 차단
• Kernel 내 정적 컴파일된 코드의 한계를 극복하기 위해 eBPF 기반의 Runtime Workaround 도입으로 공격 완화
• SUID Binary의 Read 권한 제한 및 nosuid 마운트 옵션 적용을 통한 2차 공격 경로 차단
• gVisor 또는 Firecracker VM과 같은 격리 계층을 도입하여 Shared Kernel 기반의 보안 경계 한계 해결
• SELinux 및 seccomp 정책 강화를 통한 시스템 콜 제한 및 특권 상승 시도 억제