Weboldal keresés

Hogyan lehet ellenőrizni és javítani a Meltdown CPU sebezhetőségét Linux alatt

A Meltdown egy chip szintű biztonsági rés, amely megtöri a felhasználói programok és az operációs rendszer közötti legalapvetőbb elszigeteltséget. Lehetővé teszi a programok számára, hogy hozzáférjenek az operációs rendszer kernelének és más programok privát memóriaterületéhez, és esetleg érzékeny adatokat, például jelszavakat, titkosítási kulcsokat és egyéb titkokat lopjanak el.

A Spectre egy chip szintű biztonsági hiba, amely megszakítja a különböző programok közötti elszigeteltséget. Lehetővé teszi a hackerek számára, hogy hibamentes programokat csaljanak ki érzékeny adataik kiszivárogtatására.

Ezek a hibák a mobileszközöket, a személyi számítógépeket és a felhőrendszereket érintik; a felhőszolgáltató infrastruktúrájától függően lehetséges, hogy más ügyfelek adatait is elérheti/ellophatja.

Hasznos shell-szkriptre bukkantunk, amely átvizsgálja a Linux rendszerét, hogy ellenőrizze, hogy a kernel rendelkezik-e az ismert, megfelelő enyhítő eszközökkel a Meltdown és Spectre támadások ellen.

A spectre-meltdown-checker egy egyszerű shell-szkript annak ellenőrzésére, hogy a Linux rendszere sebezhető-e a 3 „spekulatív végrehajtásCVE-vel szemben ( >Gyakori sebezhetőségek és kitettségek), amelyeket ez év elején hoztak nyilvánosságra. A futtatás után megvizsgálja az éppen futó kernelt.

Opcionálisan, ha több kernelt telepített, és egy nem futó kernelt szeretne megvizsgálni, megadhat egy kernelképet a parancssorban.

Jelentősen megpróbálja észlelni az enyhítéseket, beleértve a háttérportált nem-vanilla foltokat, figyelmen kívül hagyva a rendszeren hirdetett kernel verziószámát. Vegye figyelembe, hogy ezt a szkriptet root jogosultságokkal kell elindítania, hogy pontos információkat kapjon a sudo paranccsal.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

A fenti vizsgálat eredményei alapján a teszt kernelünk sebezhető a 3 CVE-vel szemben. Ezenkívül itt van néhány fontos megjegyzés a processzorhibákkal kapcsolatban:

  • Ha a rendszer sérülékeny processzorral rendelkezik, és javítatlan kernelt futtat, nem biztonságos az érzékeny információkkal való munka anélkül, hogy fennállna az információ kiszivárogtatása.
  • Szerencsére vannak szoftverjavítások a Meltdown és a Spectre ellen, a részleteket a Meltdown and Spectre kutatási honlapján találja meg.

A legújabb Linux kerneleket újratervezték, hogy kiküszöböljék ezeket a processzorbiztonsági hibákat. Ezért frissítse a kernel verzióját, és indítsa újra a kiszolgálót a frissítések alkalmazásához az ábrán látható módon.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Újraindítás után győződjön meg arról, hogy újra megvizsgálja a spectre-meltdown-checker.sh szkriptet.

A CVE-k összefoglalóját a spectre-meltdown-checker Github tárhelyből találhatja meg.