Jak zkontrolovat a opravit zranitelnost CPU Meltdown v Linuxu
Meltdown je bezpečnostní zranitelnost na úrovni čipu, která narušuje nejzákladnější izolaci mezi uživatelskými programy a operačním systémem. Umožňuje programu přistupovat do soukromých paměťových oblastí jádra operačního systému a dalších programů a případně ukrást citlivá data, jako jsou hesla, šifrovací klíče a další tajemství.
Spectre je bezpečnostní chyba na úrovni čipu, která narušuje izolaci mezi různými programy. Umožňuje hackerovi přimět bezchybné programy k úniku jejich citlivých dat.
Tyto nedostatky ovlivňují mobilní zařízení, osobní počítače a cloudové systémy; v závislosti na infrastruktuře poskytovatele cloudu může být možné získat přístup k datům od jiných zákazníků nebo je ukrást.
Narazili jsme na užitečný shell skript, který prohledá váš linuxový systém, aby ověřil, zda vaše jádro obsahuje známá správná opatření proti útokům Meltdown a Spectre.
spectre-meltdown-checker je jednoduchý skript Shell, který kontroluje, zda je váš systém Linux zranitelný vůči 3 „spekulativnímu provádění“ CVE (Common Vulnerabilities and Exposures), které byly zveřejněny začátkem tohoto roku. Jakmile jej spustíte, zkontroluje vaše aktuálně běžící jádro.
Volitelně, pokud jste nainstalovali více jader a chtěli byste zkontrolovat jádro, které nepoužíváte, můžete zadat obraz jádra na příkazovém řádku.
Výrazně se pokusí odhalit zmírnění, včetně backportovaných non-vanilla patchů, bez ohledu na číslo verze jádra inzerované v systému. Všimněte si, že byste měli spustit tento skript s právy root, abyste získali přesné informace, pomocí příkazu sudo.
git clone https://github.com/speed47/spectre-meltdown-checker.git
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh
Z výsledků výše uvedeného skenování vyplývá, že naše testovací jádro je zranitelné vůči 3 CVE. Kromě toho je zde několik důležitých bodů k těmto chybám procesoru:
- Pokud má váš systém zranitelný procesor a běží na něm neopravené jádro, není bezpečné pracovat s citlivými informacemi bez možnosti úniku informací.
- Naštěstí existují softwarové záplaty proti Meltdown a Spectre, podrobnosti jsou uvedeny na domovské stránce výzkumu Meltdown a Spectre.
Nejnovější linuxová jádra byla přepracována tak, aby byla odstraněna tato chyba zabezpečení procesoru. Aktualizujte proto verzi svého jádra a restartujte
server, aby se aktualizace aplikovaly, jak je znázorněno.
sudo yum update [On CentOS/RHEL]
sudo dnf update [On Fedora]
sudo apt-get update [On Debian/Ubuntu]
pacman -Syu [On Arch Linux]
Po restartu nezapomeňte znovu skenovat pomocí skriptu spectre-meltdown-checker.sh.
Můžete najít souhrn CVE z úložiště spectre-meltdown-checker Github.