Hogyan lehet ellenőrizni és javítani a Meltdown CPU sebezhetőségét Linux alatt
A Meltdown egy chip szintű biztonsági rés, amely megtöri a felhasználói programok és az operációs rendszer közötti legalapvetőbb elszigeteltséget. Lehetővé teszi a programok számára, hogy hozzáférjenek az operációs rendszer kernelének és más programok privát memóriaterületéhez, és esetleg érzékeny adatokat, például jelszavakat, titkosítási kulcsokat és egyéb titkokat lopjanak el.
A Spectre egy chip szintű biztonsági hiba, amely megszakítja a különböző programok közötti elszigeteltséget. Lehetővé teszi a hackerek számára, hogy hibamentes programokat csaljanak ki érzékeny adataik kiszivárogtatására.
Ezek a hibák a mobileszközöket, a személyi számítógépeket és a felhőrendszereket érintik; a felhőszolgáltató infrastruktúrájától függően lehetséges, hogy más ügyfelek adatait is elérheti/ellophatja.
Hasznos shell-szkriptre bukkantunk, amely átvizsgálja a Linux rendszerét, hogy ellenőrizze, hogy a kernel rendelkezik-e az ismert, megfelelő enyhítő eszközökkel a Meltdown és Spectre támadások ellen.
A spectre-meltdown-checker egy egyszerű shell-szkript annak ellenőrzésére, hogy a Linux rendszere sebezhető-e a 3 „spekulatív végrehajtás” CVE-vel szemben ( >Gyakori sebezhetőségek és kitettségek), amelyeket ez év elején hoztak nyilvánosságra. A futtatás után megvizsgálja az éppen futó kernelt.
Opcionálisan, ha több kernelt telepített, és egy nem futó kernelt szeretne megvizsgálni, megadhat egy kernelképet a parancssorban.
Jelentősen megpróbálja észlelni az enyhítéseket, beleértve a háttérportált nem-vanilla foltokat, figyelmen kívül hagyva a rendszeren hirdetett kernel verziószámát. Vegye figyelembe, hogy ezt a szkriptet root jogosultságokkal kell elindítania, hogy pontos információkat kapjon a sudo paranccsal.
git clone https://github.com/speed47/spectre-meltdown-checker.git
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh
A fenti vizsgálat eredményei alapján a teszt kernelünk sebezhető a 3 CVE-vel szemben. Ezenkívül itt van néhány fontos megjegyzés a processzorhibákkal kapcsolatban:
- Ha a rendszer sérülékeny processzorral rendelkezik, és javítatlan kernelt futtat, nem biztonságos az érzékeny információkkal való munka anélkül, hogy fennállna az információ kiszivárogtatása.
- Szerencsére vannak szoftverjavítások a Meltdown és a Spectre ellen, a részleteket a Meltdown and Spectre kutatási honlapján találja meg.
A legújabb Linux kerneleket újratervezték, hogy kiküszöböljék ezeket a processzorbiztonsági hibákat. Ezért frissítse a kernel verzióját, és indítsa újra
a kiszolgálót a frissítések alkalmazásához az ábrán látható módon.
sudo yum update [On CentOS/RHEL]
sudo dnf update [On Fedora]
sudo apt-get update [On Debian/Ubuntu]
pacman -Syu [On Arch Linux]
Újraindítás után győződjön meg arról, hogy újra megvizsgálja a spectre-meltdown-checker.sh szkriptet.
A CVE-k összefoglalóját a spectre-meltdown-checker Github tárhelyből találhatja meg.