官方修复方案:
更新Linux内核至包含mainline commit a664bf3d603d的版本。该补丁回滚了2017年algif_aead in-place优化(commit 72548b093ee3),恢复out-of-place操作方式,使page cache页面不再进入可写scatterlist。
信息来源:https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
临时缓解方案:
1. 禁用algif_aead内核模块:echo 'blacklist algif_aead' > /etc/modprobe.d/disable-algif_aead.conf && rmmod algif_aead。对绝大多数系统几乎无副作用,dm-crypt/LUKS、kTLS、IPsec、OpenSSL默认构建、SSH等均不受影响。
2. 在容器/CI环境中,通过seccomp策略阻断AF_ALG socket创建。
信息来源:https://copy.fail/