技術(shù)領(lǐng)域

本申請(qǐng)涉及計(jì)算機(jī)技術(shù)領(lǐng)域，具體涉及信息安全技術(shù)領(lǐng)域，尤其涉及漏洞修復(fù)方法和裝置。

背景技術(shù)

操作系統(tǒng)內(nèi)核經(jīng)常被發(fā)現(xiàn)各種安全漏洞，由于安全漏洞本身原理的復(fù)雜性，會(huì)消耗大量人力資源來(lái)應(yīng)對(duì)。有些廠商會(huì)延遲更新甚至放棄了舊版本的維護(hù)，給用戶帶來(lái)了極大的安全風(fēng)險(xiǎn)。以Linux內(nèi)核為例，各種安卓設(shè)備中使用的內(nèi)核版本呈現(xiàn)碎片化特征，不同內(nèi)核之間差異較大，所以缺乏良好的代碼通用性，Linux內(nèi)核本身和廠商還設(shè)置一些安全機(jī)制對(duì)代碼加載進(jìn)行限制。

由于上述原因，現(xiàn)有技術(shù)中的修復(fù)方法依賴于運(yùn)行系統(tǒng)的源代碼或者需要原始內(nèi)核提供相應(yīng)的機(jī)能進(jìn)行配合才能使用，生成的補(bǔ)丁也只能用于修補(bǔ)特定的內(nèi)核編譯版本，極大的限制了其應(yīng)用場(chǎng)景和兼容性。

發(fā)明內(nèi)容

本申請(qǐng)的目的在于提出一種改進(jìn)的漏洞修復(fù)方法和裝置，來(lái)解決以上背景技術(shù)部分提到的技術(shù)問(wèn)題。

第一方面，本申請(qǐng)?zhí)峁┝艘环N漏洞修復(fù)方法，所述方法包括：收集待修復(fù)內(nèi)核的屬性信息，所述屬性信息包括用于表征所述待修復(fù)內(nèi)核所支持代碼加載方式的特征信息；獲取與所述特征信息匹配的漏洞修復(fù)代碼；基于所述屬性信息，對(duì)所述漏洞修復(fù)代碼進(jìn)行配置以使所述漏洞修復(fù)代碼與所述待修復(fù)內(nèi)核適配；使用已配置的漏洞修復(fù)代碼對(duì)所述待修復(fù)內(nèi)核進(jìn)行漏洞修復(fù)。

在一些實(shí)施例中，所述獲取與所述特征信息匹配的漏洞修復(fù)代碼，包括：獲取服務(wù)器中存儲(chǔ)的、與所述特征信息匹配的漏洞修復(fù)代碼，其中所述服務(wù)器存儲(chǔ)的漏洞修復(fù)代碼是實(shí)時(shí)更新的。

在一些實(shí)施例中，所述特征信息包括：用于描述所述待修復(fù)內(nèi)核中是否存在預(yù)設(shè)的系統(tǒng)調(diào)用的信息以及用于描述所述待修復(fù)內(nèi)核中是否存在預(yù)設(shè)的物理內(nèi)存設(shè)備的信息；以及所述獲取與所述特征信息匹配的漏洞修復(fù)代碼，包括：當(dāng)所述特征信息指示預(yù)設(shè)的系統(tǒng)調(diào)用存在時(shí)所匹配的漏洞修復(fù)代碼包括內(nèi)核模塊類型的漏洞修復(fù)代碼，當(dāng)所述特征信息指示預(yù)設(shè)的物理內(nèi)存設(shè)備存在時(shí)所匹配的漏洞修復(fù)代碼包括指令序列類型的漏洞修復(fù)代碼。

在一些實(shí)施例中，所述屬性信息還包括內(nèi)核符號(hào)校驗(yàn)參數(shù)；以及當(dāng)所獲取的漏洞修復(fù)代碼為內(nèi)核模塊時(shí)，所述基于所述屬性信息，對(duì)所述漏洞修復(fù)代碼進(jìn)行配置以使所述漏洞修復(fù)代碼與所述待修復(fù)內(nèi)核適配，包括：使用所述內(nèi)核符號(hào)校驗(yàn)參數(shù)配置所述內(nèi)核模塊對(duì)應(yīng)的可執(zhí)行文件中的內(nèi)核符號(hào)校驗(yàn)參數(shù)字段。

在一些實(shí)施例中，所述屬性信息還包括待修復(fù)內(nèi)核中內(nèi)核符號(hào)的地址信息；以及所述基于所述屬性信息，對(duì)所述漏洞修復(fù)代碼進(jìn)行配置以使所述漏洞修復(fù)代碼與所述待修復(fù)內(nèi)核適配包括：使用所述地址信息配置所述指令序列中的內(nèi)核符號(hào)的地址。

在一些實(shí)施例中，在所述獲取與所述特征信息匹配的漏洞修復(fù)代碼之后，所述方法還包括：對(duì)所獲取的漏洞修復(fù)代碼進(jìn)行合法性校驗(yàn)，以確認(rèn)所述漏洞修復(fù)代碼未被篡改。

在一些實(shí)施例中，所述方法還包括：生成用于表示漏洞修復(fù)成功或失敗的信息。

在一些實(shí)施例中，所述收集待修復(fù)內(nèi)核的屬性信息，包括：響應(yīng)于待修復(fù)內(nèi)核的啟動(dòng)操作，收集所述待修復(fù)內(nèi)核的屬性信息。

在一些實(shí)施例中，所述方法還包括：若漏洞修復(fù)失敗，則將待修復(fù)內(nèi)核恢復(fù)至修復(fù)之間的狀態(tài)。

第二方面，本申請(qǐng)?zhí)峁┝艘环N漏洞修復(fù)裝置，所述裝置包括：收集單元，用于收集待修復(fù)內(nèi)核的屬性信息，所述屬性信息包括用于表征所述待修復(fù)內(nèi)核所支持代碼加載方式的特征信息；獲取單元，用于獲取與所述特征信息匹配的漏洞修復(fù)代碼；配置單元，用于基于所述屬性信息，對(duì)所述漏洞修復(fù)代碼進(jìn)行配置以使所述漏洞修復(fù)代碼與所述待修復(fù)內(nèi)核適配；修復(fù)單元，用于使用已配置的漏洞修復(fù)代碼對(duì)所述待修復(fù)內(nèi)核進(jìn)行漏洞修復(fù)。

在一些實(shí)施例中，所述獲取單元進(jìn)一步用于獲取服務(wù)器中存儲(chǔ)的、與所述特征信息匹配的漏洞修復(fù)代碼，其中所述服務(wù)器存儲(chǔ)的漏洞修復(fù)代碼是實(shí)時(shí)更新的。

在一些實(shí)施例中，所述特征信息包括：用于描述所述待修復(fù)內(nèi)核中是否存在預(yù)設(shè)的系統(tǒng)調(diào)用的信息以及用于描述所述待修復(fù)內(nèi)核中是否存在預(yù)設(shè)的物理內(nèi)存設(shè)備的信息；以及所述獲取單元進(jìn)一步用于：當(dāng)所述特征信息指示預(yù)設(shè)的系統(tǒng)調(diào)用存在時(shí)所匹配的漏洞修復(fù)代碼包括內(nèi)核模塊類型的漏洞修復(fù)代碼，當(dāng)所述特征信息指示預(yù)設(shè)的物理內(nèi)存設(shè)備存在時(shí)所匹配的漏洞修復(fù)代碼包括指令序列類型的漏洞修復(fù)代碼。

在一些實(shí)施例中，所述屬性信息還包括內(nèi)核符號(hào)校驗(yàn)參數(shù)；以及所述配置單元進(jìn)一步用于：當(dāng)所獲取的漏洞修復(fù)代碼為內(nèi)核模塊時(shí)，使用所述內(nèi)核符號(hào)校驗(yàn)參數(shù)配置所述內(nèi)核模塊對(duì)應(yīng)的可執(zhí)行文件中的內(nèi)核符號(hào)校驗(yàn)參數(shù)字段。