Kako preveriti in popraviti ranljivost procesorskega procesorja v Linuxu
Meltdown je varnostna ranljivost na ravni čipa, ki prekine najbolj temeljno izolacijo med uporabniškimi programi in operacijskim sistemom. Programu omogoča dostop do zasebnega pomnilniškega prostora jedra operacijskega sistema in drugih programov ter po možnosti krade občutljive podatke, kot so gesla, kripto ključi in druge skrivnosti.
Spectre je varnostna napaka na ravni čipa, ki prekine izolacijo med različnimi programi. Omogoča hekerju, da prevari programe brez napak, da bi pustili občutljive podatke.
Te pomanjkljivosti vplivajo na mobilne naprave, osebne računalnike in sisteme v oblaku; odvisno od infrastrukture ponudnika storitev v oblaku bo morda mogoče dostopati/ukrasti podatke drugih strank.
Naleteli smo na uporaben lupinski skript, ki skenira vaš sistem Linux in preveri, ali je v vašem jedru znano pravilno ublažitev proti napadom Meltdown in Spectre.
specter-meltdown-checker je preprost lupinski skript, s katerim lahko preverite, ali je vaš sistem Linux ranljiv proti 3 CVE-jem »pogostih ranljivosti in izpostavljenosti«, ki so bile objavljene v začetku tega leta. Ko ga zaženete, bo pregledal trenutno delujoče jedro.
Če želite, da imate nameščeno več jeder in želite pregledati jedro, ki ga ne izvajate, lahko v ukazni vrstici podate sliko jedra.
Pomembno bo poskušati zaznati ublažitve, vključno s popravki brez vanilije, brez upoštevanja številke različice jedra, objavljene v sistemu. Upoštevajte, da morate ta skript zagnati s korenskimi pravicami, da dobite točne informacije z ukazom sudo.
$ git clone https://github.com/speed47/spectre-meltdown-checker.git $ cd spectre-meltdown-checker/ $ sudo ./spectre-meltdown-checker.sh
Iz rezultatov zgornjega skeniranja je naše preskusno jedro občutljivo na 3 CVE. Poleg tega je treba pri teh napakah procesorja opozoriti na nekaj pomembnih točk:
- Če ima vaš sistem ranljiv procesor in ima neopaženo jedro, delo z občutljivimi informacijami ni varno, ne da bi prišlo do uhajanja informacij.
- Na srečo obstajajo popravki programske opreme proti Meltdown in Spectru, podrobnosti pa so navedene na domači strani Meltdown in Spectre.
Najnovejša jedra Linuxa so bila preoblikovana, da bi odpravila te varnostne napake procesorja. Zato posodobite različico jedra in znova zaženite strežnik, da uporabite posodobitve, kot je prikazano.
$ sudo yum update [On CentOS/RHEL] $ sudo dnf update [On Fedora] $ sudo apt-get update [On Debian/Ubuntu] # pacman -Syu [On Arch Linux]
Po ponovnem zagonu skenirajte znova s skriptom spectre-meltdown-checker.sh.
Povzetek CVE-jev najdete v skladišču Github, ki preverja spekter-meltdown-checker.