Поиск по сайту:

Как проверить и исправить уязвимость процессора Meltdown в Linux

Meltdown — это уязвимость безопасности на уровне чипа, которая нарушает фундаментальную изоляцию между пользовательскими программами и операционной системой. Это позволяет программе получить доступ к частным областям памяти ядра операционной системы и других программ и, возможно, украсть конфиденциальные данные, такие как пароли, криптоключи и другие секреты.

Spectre — это уязвимость безопасности на уровне чипа, которая нарушает изоляцию между различными программами. Это позволяет хакеру обманом заставить безошибочные программы раскрыть свои конфиденциальные данные.

Эти недостатки затрагивают мобильные устройства, персональные компьютеры и облачные системы; в зависимости от инфраструктуры облачного провайдера может возникнуть возможность получить доступ к данным других клиентов или украсть их.

Мы наткнулись на полезный сценарий оболочки, который сканирует вашу систему Linux, чтобы проверить, имеются ли в вашем ядре известные правильные средства защиты от атак Meltdown и Spectre.

spectre-meltdown-checker — это простой сценарий оболочки, позволяющий проверить, уязвима ли ваша система Linux к трем «спекулятивным выполнениям» CVE ( >Распространенные уязвимости и уязвимости), которые были обнародованы в начале этого года. Как только вы запустите его, он проверит ваше работающее в данный момент ядро.

При желании, если вы установили несколько ядер и хотите проверить ядро, которое не используете, вы можете указать образ ядра в командной строке.

Он будет стараться обнаружить меры по снижению риска, включая перенесенные неванильные исправления, не принимая во внимание номер версии ядра, объявленный в системе. Обратите внимание, что вам следует запустить этот скрипт с правами root, чтобы получить точную информацию, используя команду sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Судя по результатам приведенного выше сканирования, наше тестовое ядро уязвимо для 3 CVE. Кроме того, вот несколько важных моментов, которые следует учитывать в отношении этих ошибок процессора:

  • Если ваша система имеет уязвимый процессор и использует непропатченное ядро, работать с конфиденциальной информацией без риска ее утечки небезопасно.
  • К счастью, существуют программные исправления против Meltdown и Spectre, подробности которых можно найти на домашней странице исследований Meltdown и Spectre.

Последние ядра Linux были переработаны, чтобы устранить эти ошибки безопасности процессора. Поэтому обновите версию ядра и перезагрузите сервер, чтобы применить обновления, как показано.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

После перезагрузки обязательно выполните сканирование еще раз с помощью сценария spectre-meltdown-checker.sh.

Вы можете найти сводку CVE в репозитории Github spectre-meltdown-checker.