Как проверить и исправить уязвимость процессора Meltdown в Linux
Meltdown — это уязвимость безопасности на уровне чипа, которая нарушает фундаментальную изоляцию между пользовательскими программами и операционной системой. Это позволяет программе получить доступ к частным областям памяти ядра операционной системы и других программ и, возможно, украсть конфиденциальные данные, такие как пароли, криптоключи и другие секреты.
Spectre — это уязвимость безопасности на уровне чипа, которая нарушает изоляцию между различными программами. Это позволяет хакеру обманом заставить безошибочные программы раскрыть свои конфиденциальные данные.
Эти недостатки затрагивают мобильные устройства, персональные компьютеры и облачные системы; в зависимости от инфраструктуры облачного провайдера может возникнуть возможность получить доступ к данным других клиентов или украсть их.
Мы наткнулись на полезный сценарий оболочки, который сканирует вашу систему Linux, чтобы проверить, имеются ли в вашем ядре известные правильные средства защиты от атак Meltdown и Spectre.
spectre-meltdown-checker — это простой сценарий оболочки, позволяющий проверить, уязвима ли ваша система Linux к трем «спекулятивным выполнениям» CVE ( >Распространенные уязвимости и уязвимости), которые были обнародованы в начале этого года. Как только вы запустите его, он проверит ваше работающее в данный момент ядро.
При желании, если вы установили несколько ядер и хотите проверить ядро, которое не используете, вы можете указать образ ядра в командной строке.
Он будет стараться обнаружить меры по снижению риска, включая перенесенные неванильные исправления, не принимая во внимание номер версии ядра, объявленный в системе. Обратите внимание, что вам следует запустить этот скрипт с правами root, чтобы получить точную информацию, используя команду sudo.
git clone https://github.com/speed47/spectre-meltdown-checker.git
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh
Судя по результатам приведенного выше сканирования, наше тестовое ядро уязвимо для 3 CVE. Кроме того, вот несколько важных моментов, которые следует учитывать в отношении этих ошибок процессора:
- Если ваша система имеет уязвимый процессор и использует непропатченное ядро, работать с конфиденциальной информацией без риска ее утечки небезопасно.
- К счастью, существуют программные исправления против Meltdown и Spectre, подробности которых можно найти на домашней странице исследований Meltdown и Spectre.
Последние ядра Linux были переработаны, чтобы устранить эти ошибки безопасности процессора. Поэтому обновите версию ядра и перезагрузите
сервер, чтобы применить обновления, как показано.
sudo yum update [On CentOS/RHEL]
sudo dnf update [On Fedora]
sudo apt-get update [On Debian/Ubuntu]
pacman -Syu [On Arch Linux]
После перезагрузки обязательно выполните сканирование еще раз с помощью сценария spectre-meltdown-checker.sh.
Вы можете найти сводку CVE в репозитории Github spectre-meltdown-checker.