Kaip patikrinti ir pataisyti „Linux“ procesoriaus pažeidžiamumą


Meltdown yra lusto lygio saugos pažeidžiamumas, panaikinantis pagrindinę vartotojo programų ir operacinės sistemos izoliaciją. Tai leidžia programai pasiekti operacinės sistemos branduolio ir kitų programų privačias atminties sritis ir pavogti slaptus duomenis, tokius kaip slaptažodžiai, šifravimo raktai ir kitos paslaptys.

Spectre yra lusto lygio saugos klaida, kuri pažeidžia atskiras programas. Tai leidžia įsilaužėliams apgauti programas be klaidų ir nutekėti jų neskelbtinus duomenis.

Šie trūkumai turi įtakos mobiliesiems įrenginiams, asmeniniams kompiuteriams ir debesų sistemoms; priklausomai nuo debesies paslaugų teikėjo infrastruktūros, gali būti įmanoma pasiekti/pavogti kitų klientų duomenis.

Aptikome naudingą apvalkalo scenarijų, kuris nuskaito jūsų „Linux“ sistemą, kad patikrintų, ar jūsų branduolyje yra žinomos tinkamos mažinimo priemonės prieš Meltdown ir Spectre atakas.

Spectre-meltdown-checker yra paprastas apvalkalo scenarijus, skirtas patikrinti, ar jūsų „Linux“ sistema yra pažeidžiama nuo 3 „spekuliatyvaus vykdymoCVE ( >Bendrieji pažeidžiamumas ir poveikis), kurie buvo paskelbti šių metų pradžioje. Kai jį paleisite, jis patikrins šiuo metu veikiantį branduolį.

Pasirinktinai, jei įdiegėte kelis branduolius ir norite patikrinti branduolį, kurio neveikiate, komandinėje eilutėje galite nurodyti branduolio vaizdą.

Jis labai stengsis aptikti švelninimo priemones, įskaitant atgalines ne vanilės pataisas, neatsižvelgdamas į sistemoje reklamuojamą branduolio versijos numerį. Atminkite, kad turėtumėte paleisti šį scenarijų su root teisėmis, kad gautumėte tikslią informaciją, naudodami komandą sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Remiantis anksčiau pateikto nuskaitymo rezultatais, mūsų bandomasis branduolys yra pažeidžiamas 3 CVE. Be to, čia yra keletas svarbių punktų, į kuriuos reikia atkreipti dėmesį apie šias procesoriaus klaidas:

  • Jei jūsų sistemoje yra pažeidžiamas procesorius ir veikia nepataisytas branduolys, nesaugu dirbti su neskelbtina informacija be galimybės nutekinti informaciją.
  • Laimei, yra programinės įrangos pataisų, skirtų Meltdown ir Spectre, su išsamia informacija pateikta Meltdown ir Spectre tyrimų pagrindiniame puslapyje.

Naujausi „Linux“ branduoliai buvo perdaryti, kad būtų pašalinta ši procesoriaus saugos klaida. Todėl atnaujinkite branduolio versiją ir perkraukite serverį, kad pritaikytumėte naujinimus, kaip parodyta.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Paleidę iš naujo, būtinai dar kartą nuskaitykite naudodami spectre-meltdown-checker.sh scenarijų.

CVE santrauką galite rasti spektre-meltdown-checker Github saugykloje.