Hvordan sjekke og lappe Meltdown CPU-sårbarhet i Linux


Meltdown er et sikkerhetssårbarhet på brikkenivå som bryter den mest grunnleggende isolasjonen mellom brukerprogrammer og operativsystemet. Det lar et program få tilgang til operativsystemkjernens og andre programmers private minneområder, og muligens stjele sensitive data, som passord, kryptonøkler og andre hemmeligheter.

Spectre er en sikkerhetsfeil på brikkenivå som bryter isolasjonen mellom ulike programmer. Det gjør det mulig for en hacker å lure feilfrie programmer til å lekke sensitive data.

Disse feilene påvirker mobile enheter, personlige datamaskiner og skysystemer; avhengig av skyleverandørens infrastruktur, kan det være mulig å få tilgang til/stjele data fra andre kunder.

Vi kom over et nyttig skallskript som skanner Linux-systemet ditt for å verifisere om kjernen din har de kjente, riktige avgrensningene på plass mot Meltdown og Spectre-angrep.

spectre-meltdown-checker er et enkelt skallskript for å sjekke om Linux-systemet ditt er sårbart mot de 3 «spekulative utførelses» CVE-ene ( >Vanlige sårbarheter og eksponeringer) som ble offentliggjort tidlig i år. Når du kjører den, vil den inspisere kjernen som kjører for øyeblikket.

Eventuelt, hvis du har installert flere kjerner og du ønsker å inspisere en kjerne du ikke kjører, kan du spesifisere et kjernebilde på kommandolinjen.

Den vil i betydelig grad forsøke å oppdage reduksjoner, inkludert tilbakeporterte ikke-vanilje-patcher, uten å ta hensyn til kjerneversjonsnummeret som er annonsert på systemet. Merk at du bør starte dette skriptet med root-privilegier for å få nøyaktig informasjon ved å bruke sudo-kommandoen.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Fra resultatene av skanningen ovenfor er testkjernen vår sårbar for 3 CVE-er. I tillegg er her noen viktige punkter å merke seg om disse prosessorfeilene:

  • Hvis systemet ditt har en sårbar prosessor og kjører en uoppdatert kjerne, er det ikke trygt å jobbe med sensitiv informasjon uten sjanse for å lekke informasjonen.
  • Heldigvis finnes det programvareoppdateringer mot Meltdown og Spectre, med detaljer gitt på Meltdown and Spectres forskningshjemmeside.

De siste Linux-kjernene har blitt redesignet for å defange disse prosessorsikkerhetsfeilene. Oppdater derfor kjerneversjonen din og start på nytt serveren for å bruke oppdateringer som vist.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Etter omstart sørg for å skanne på nytt med spectre-meltdown-checker.sh-skriptet.

Du kan finne et sammendrag av CVE-ene fra spectre-meltdown-checker Github-depotet.