Sådan kontrolleres og patches Meltdown CPU-sårbarhed i Linux
Meltdown er en sikkerhedssårbarhed på chipniveau, der bryder den mest grundlæggende isolation mellem brugerprogrammer og operativsystemet. Det giver et program adgang til operativsystemets kerne og andre programs private hukommelsesområder og muligvis stjæler følsomme data, såsom adgangskoder, kryptonøgler og andre hemmeligheder.
Spectre er en sikkerhedsfejl på chipniveau, der bryder isolationen mellem forskellige programmer. Det gør det muligt for en hacker at narre fejlfrie programmer til at lække deres følsomme data.
Disse mangler påvirker mobile enheder, pc'er og cloud-systemer; afhængigt af cloududbyderens infrastruktur kan det være muligt at få adgang til/stjæle data fra andre kunder.
Vi stødte på et nyttigt shell-script, der scanner dit Linux-system for at kontrollere, om din kerne har de kendte korrekte begrænsninger på plads mod Meltdown- og Spectre-angreb.
specter-meltdown-checker er et simpelt shell-script til at kontrollere, om dit Linux-system er sårbart over for de 3 "spekulative udførelse" CVE'er (Common Vulnerabilities and Exposures), der blev offentliggjort tidligt i år. Når du har kørt den, vil den inspicere din nuværende kerne.
Hvis du har installeret flere kerner, og du gerne vil inspicere en kerne, du ikke kører, kan du eventuelt angive et kernebillede på kommandolinjen.
Det vil i væsentlig grad forsøge at opdage afbødninger, inklusive bagporterede ikke-vanilje-lapper, ikke i betragtning af det kerneversionnummer, der er annonceret på systemet. Bemærk, at du skal starte dette script med rodrettigheder for at få nøjagtige oplysninger ved hjælp af sudo-kommandoen.
$ git clone https://github.com/speed47/spectre-meltdown-checker.git $ cd spectre-meltdown-checker/ $ sudo ./spectre-meltdown-checker.sh
Fra resultaterne af ovenstående scanning er vores testkerne sårbar over for de 3 CVE'er. Derudover er her et par vigtige punkter at bemærke om disse processorfejl:
- Hvis dit system har en sårbar processor og kører en ikke-patchet kerne, er det ikke sikkert at arbejde med følsomme oplysninger uden chancen for at lække oplysningerne.
- Heldigvis er der softwarefilter mod Meltdown og Spectre med detaljer angivet på Meltdown og Spectres research-startside.
De seneste Linux-kerner er blevet redesignet for at defangere disse processors sikkerhedsfejl. Opdater derfor din kerneversion og genstart serveren for at anvende opdateringer som vist.
$ sudo yum update [On CentOS/RHEL] $ sudo dnf update [On Fedora] $ sudo apt-get update [On Debian/Ubuntu] # pacman -Syu [On Arch Linux]
Efter genstart skal du sørge for at scanne igen med scriptet spectre-meltdown-checker.sh.
Du kan finde et resumé af CVE'erne fra Github-arkivet med specter-meltdown-checker.