Wyszukiwanie w witrynie

Jak sprawdzić i załatać lukę w zabezpieczeniach procesora Meltdown w systemie Linux

Meltdown to luka w zabezpieczeniach na poziomie chipa, która przerywa najbardziej podstawową izolację między programami użytkownika a systemem operacyjnym. Umożliwia programowi dostęp do prywatnych obszarów pamięci jądra systemu operacyjnego i innych programów oraz ewentualnie kradzież wrażliwych danych, takich jak hasła, klucze kryptograficzne i inne sekrety.

Spectre to luka w zabezpieczeniach na poziomie chipa, która przerywa izolację między różnymi programami. Umożliwia hakerowi oszukanie bezbłędnych programów w celu wycieku ich wrażliwych danych.

Wady te dotyczą urządzeń mobilnych, komputerów osobistych i systemów chmurowych; w zależności od infrastruktury dostawcy usług w chmurze może istnieć możliwość uzyskania dostępu do danych innych klientów lub ich kradzieży.

Natknęliśmy się na przydatny skrypt powłoki, który skanuje Twój system Linux w celu sprawdzenia, czy jądro ma znane, prawidłowe zabezpieczenia przed atakami Meltdown i Spectre.

spectre-meltdown-checker to prosty skrypt powłoki sprawdzający, czy Twój system Linux jest podatny na 3 „wykonanie spekulacyjneCVE (Typowe luki i zagrożenia), które zostały upublicznione na początku tego roku. Po uruchomieniu sprawdzi aktualnie działające jądro.

Opcjonalnie, jeśli zainstalowałeś wiele jąder i chcesz sprawdzić jądro, którego nie używasz, możesz określić obraz jądra w wierszu poleceń.

Będzie znacząco próbował wykryć środki zaradcze, w tym przeniesione poprawki inne niż waniliowe, nie biorąc pod uwagę numeru wersji jądra reklamowanego w systemie. Pamiętaj, że powinieneś uruchomić ten skrypt z uprawnieniami roota, aby uzyskać dokładne informacje za pomocą polecenia sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Z wyników powyższego skanowania wynika, że nasze jądro testowe jest podatne na 3 CVE. Ponadto, oto kilka ważnych punktów, na które należy zwrócić uwagę w związku z błędami procesora:

  • Jeśli Twój system ma wrażliwy procesor i uruchamia niezałatane jądro, praca z poufnymi informacjami bez ryzyka ich wycieku nie jest bezpieczna.
  • Na szczęście istnieją łaty oprogramowania przeciwko Meltdown i Spectre, których szczegółowe informacje można znaleźć na stronie głównej badań Meltdown i Spectre.

Najnowsze jądra Linuksa zostały przeprojektowane, aby wyeliminować te błędy bezpieczeństwa procesora. Dlatego zaktualizuj wersję jądra i uruchom ponownie serwer, aby zastosować aktualizacje, jak pokazano.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Po ponownym uruchomieniu przeskanuj ponownie za pomocą skryptu spectre-meltdown-checker.sh.

Podsumowanie CVE można znaleźć w repozytorium Github spectre-meltdown-checker.