Vyhledávání na webu

Jak zkontrolovat a opravit zranitelnost CPU Meltdown v Linuxu


Meltdown je bezpečnostní zranitelnost na úrovni čipu, která narušuje nejzákladnější izolaci mezi uživatelskými programy a operačním systémem. Umožňuje programu přistupovat do soukromých paměťových oblastí jádra operačního systému a dalších programů a případně ukrást citlivá data, jako jsou hesla, šifrovací klíče a další tajemství.

Spectre je bezpečnostní chyba na úrovni čipu, která narušuje izolaci mezi různými programy. Umožňuje hackerovi přimět bezchybné programy k úniku jejich citlivých dat.

Tyto nedostatky ovlivňují mobilní zařízení, osobní počítače a cloudové systémy; v závislosti na infrastruktuře poskytovatele cloudu může být možné získat přístup k datům od jiných zákazníků nebo je ukrást.

Narazili jsme na užitečný shell skript, který prohledá váš linuxový systém, aby ověřil, zda vaše jádro obsahuje známá správná opatření proti útokům Meltdown a Spectre.

spectre-meltdown-checker je jednoduchý skript Shell, který kontroluje, zda je váš systém Linux zranitelný vůči 3 „spekulativnímu prováděníCVE (Common Vulnerabilities and Exposures), které byly zveřejněny začátkem tohoto roku. Jakmile jej spustíte, zkontroluje vaše aktuálně běžící jádro.

Volitelně, pokud jste nainstalovali více jader a chtěli byste zkontrolovat jádro, které nepoužíváte, můžete zadat obraz jádra na příkazovém řádku.

Výrazně se pokusí odhalit zmírnění, včetně backportovaných non-vanilla patchů, bez ohledu na číslo verze jádra inzerované v systému. Všimněte si, že byste měli spustit tento skript s právy root, abyste získali přesné informace, pomocí příkazu sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Z výsledků výše uvedeného skenování vyplývá, že naše testovací jádro je zranitelné vůči 3 CVE. Kromě toho je zde několik důležitých bodů k těmto chybám procesoru:

  • Pokud má váš systém zranitelný procesor a běží na něm neopravené jádro, není bezpečné pracovat s citlivými informacemi bez možnosti úniku informací.
  • Naštěstí existují softwarové záplaty proti Meltdown a Spectre, podrobnosti jsou uvedeny na domovské stránce výzkumu Meltdown a Spectre.

Nejnovější linuxová jádra byla přepracována tak, aby byla odstraněna tato chyba zabezpečení procesoru. Aktualizujte proto verzi svého jádra a restartujte server, aby se aktualizace aplikovaly, jak je znázorněno.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Po restartu nezapomeňte znovu skenovat pomocí skriptu spectre-meltdown-checker.sh.

Můžete najít souhrn CVE z úložiště spectre-meltdown-checker Github.