Cum să verificați și să corectați vulnerabilitatea procesorului Meltdown în Linux


Meltdown este o vulnerabilitate de securitate la nivel de cip care rupe cea mai fundamentală izolație dintre programele utilizatorului și sistemul de operare. Permite unui program să acceseze zonele de memorie privată ale nucleului sistemului de operare și ale altor programe și, eventual, să fure date sensibile, cum ar fi parole, chei criptografice și alte secrete.

Spectre este o defecțiune de securitate la nivel de cip care rupe izolarea dintre diferite programe. Acesta permite unui hacker să păcălească programele fără erori pentru a-și scurge datele sensibile.

Aceste defecte afectează dispozitivele mobile, computerele personale și sistemele cloud; în funcție de infrastructura furnizorului de cloud, ar putea fi posibilă accesarea/furarea datelor de la alți clienți.

Am găsit un script shell util care scanează sistemul dvs. Linux pentru a verifica dacă nucleul dvs. are măsurile de atenuare corecte cunoscute împotriva atacurilor Meltdown și Spectre.

spectre-meltdown-checker este un script shell simplu pentru a verifica dacă sistemul dvs. Linux este vulnerabil împotriva celor 3 „execuții speculativeCVE ( >Vulnerabilități și expuneri comune), care au fost făcute publice la începutul acestui an. Odată ce îl rulați, acesta va inspecta nucleul care rulează în prezent.

Opțional, dacă ați instalat mai multe nuclee și doriți să inspectați un nucleu pe care nu îl rulați, puteți specifica o imagine a nucleului pe linia de comandă.

Acesta va încerca în mod semnificativ să detecteze atenuări, inclusiv patch-uri non-vanilie retroportate, fără a ține cont de numărul versiunii kernelului anunțat pe sistem. Rețineți că ar trebui să lansați acest script cu privilegii de rădăcină pentru a obține informații exacte, folosind comanda sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Din rezultatele scanării de mai sus, nucleul nostru de testare este vulnerabil la cele 3 CVE. În plus, iată câteva puncte importante de reținut despre aceste erori ale procesorului:

  • Dacă sistemul dumneavoastră are un procesor vulnerabil și rulează un nucleu nepattchat, nu este sigur să lucrați cu informații sensibile fără șansa de a scurge informații.
  • Din fericire, există patch-uri software împotriva Meltdown și Spectre, cu detalii furnizate pe pagina principală a cercetării Meltdown și Spectre.

Cele mai recente nuclee Linux au fost reproiectate pentru a elimina aceste erori de securitate ale procesorului. Prin urmare, actualizați versiunea de kernel și reporniți serverul pentru a aplica actualizări așa cum se arată.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

După repornire, asigurați-vă că scanați din nou cu scriptul spectre-meltdown-checker.sh.

Puteți găsi un rezumat al CVE-urilor din depozitul Github de verificare a spectre-meltdown-checker.