Kuinka tarkistaa ja korjata sulautumisen suorittimen haavoittuvuus Linuxissa

Meltdown on sirutason tietoturvahaavoittuvuus, joka katkaisee perustavanlaatuisimman eristyksen käyttäjäohjelmien ja käyttöjärjestelmän välillä. Sen avulla ohjelma pääsee käsiksi käyttöjärjestelmän ytimen ja muiden ohjelmien yksityisille muistialueille ja mahdollisesti varastaa arkaluontoisia tietoja, kuten salasanoja, salausavaimia ja muita salaisuuksia.

Spectre on sirutason tietoturvavirhe, joka katkaisee eristyksen eri ohjelmien välillä. Sen avulla hakkeri voi huijata virheettömiä ohjelmia vuotamaan arkaluonteisia tietojaan.

Nämä puutteet vaikuttavat mobiililaitteisiin, henkilökohtaisiin tietokoneisiin ja pilvijärjestelmiin; pilvipalveluntarjoajan infrastruktuurista riippuen saattaa olla mahdollista päästä käsiksi/varastaa tietoja muilta asiakkailta.

Löysimme hyödyllisen komentosarjan, joka tarkistaa Linux-järjestelmäsi varmistaakseen, onko ytimessäsi käytössä tunnetut oikeat torjuntakeinot Meltdown- ja Spectre-hyökkäyksiä vastaan.

spectre-meltdown-checker on yksinkertainen komentosarja, jonka avulla voit tarkistaa, onko Linux-järjestelmäsi haavoittuvainen kolmelle "spekulatiiviselle suoritukselle" CVE:lle ( >Yleiset haavoittuvuudet ja altistukset), jotka julkistettiin tämän vuoden alussa. Kun suoritat sen, se tarkistaa käynnissä olevan ytimen.

Valinnaisesti, jos olet asentanut useita ytimiä ja haluat tarkistaa ytimen, jota et käytä, voit määrittää ytimen kuvan komentorivillä.

Se yrittää merkittävästi havaita lievennyksiä, mukaan lukien backported ei-vaniljakorjaukset, ottamatta huomioon järjestelmässä mainostettua ytimen versionumeroa. Huomaa, että sinun tulee käynnistää tämä komentosarja pääkäyttäjän oikeuksilla saadaksesi tarkkoja tietoja käyttämällä sudo-komentoa.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Yllä olevan tarkistuksen tulosten perusteella testiytimemme on alttiina 3 CVE:lle. Lisäksi tässä on muutamia tärkeitä huomautuksia näistä prosessorivirheistä:

  • Jos järjestelmässäsi on haavoittuva prosessori ja se käyttää korjaamatonta ydintä, ei ole turvallista käsitellä arkaluonteisia tietoja ilman mahdollisuutta vuotaa tietoja.
  • Onneksi Meltdownia ja Spectreä vastaan on ohjelmistokorjauksia, joista on lisätietoja Meltdown and Spectre -tutkimuksen kotisivulla.

Uusimmat Linux-ytimet on suunniteltu uudelleen poistamaan nämä prosessorin tietoturvavirheet. Päivitä siksi ytimen versio ja käynnistä palvelin päivittääksesi päivitykset kuvan mukaisesti.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Tarkista uudelleenkäynnistyksen jälkeen uudelleen spectre-meltdown-checker.sh-komentosarjalla.

Löydät yhteenvedon CVE:istä spectre-meltdown-checker Github-arkistosta.