Kako provjeriti i zakrpati ranjivost CPU-a Meltdown u Linuxu

Taljenje sigurnosna je ranjivost na razini čipa koja razbija temeljnu izolaciju između korisničkih programa i operativnog sustava. Omogućuje programu pristup jezgri operativnog sustava i privatnim memorijskim područjima drugih programa te moguću krađu osjetljivih podataka, poput lozinki, kripto-ključeva i drugih tajni.

Spectre je sigurnosni propust na razini čipa koji razbija izolaciju između različitih programa. Omogućuje hakeru da na prijevaru navede programe bez grešaka da im procure osjetljivi podaci.

Ovi nedostaci utječu na mobilne uređaje, osobna računala i sustave u oblaku; ovisno o infrastrukturi pružatelja usluga oblaka, moglo bi biti moguće pristupiti/ukrasti podatke od drugih korisnika.

Naišli smo na korisnu skriptu ljuske koja skenira vaš Linux sustav kako bi provjerila ima li vaša jezgra poznate ispravne mjere ublažavanja protiv Meltdown i Spectre napada.

spectre-meltdown-checker je jednostavna skripta ljuske za provjeru je li vaš Linux sustav ranjiv na 3 “spekulativna izvršenjaCVE-a (Uobičajene ranjivosti i izloženosti) koje su javno objavljene početkom ove godine. Nakon što ga pokrenete, pregledat će vašu trenutno pokrenutu jezgru.

Po želji, ako ste instalirali više kernela i želite provjeriti kernel koji ne izvodite, možete navesti sliku kernela u naredbenom retku.

Značajno će pokušati otkriti ublažavanja, uključujući pozadinske zakrpe koje nisu vanilla, ne uzimajući u obzir broj verzije kernela oglašen na sustavu. Imajte na umu da ovu skriptu trebate pokrenuti s root privilegijama kako biste dobili točne informacije, koristeći naredbu sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Prema rezultatima gornjeg skeniranja, naš je testni kernel ranjiv na 3 CVE. Osim toga, evo nekoliko važnih točaka koje treba imati na umu u vezi s ovim greškama procesora:

  • Ako vaš sustav ima ranjivi procesor i pokreće nezakrpanu jezgru, nije sigurno raditi s osjetljivim informacijama bez mogućnosti curenja informacija.
  • Srećom, postoje softverske zakrpe protiv Meltdowna i Spectrea, a pojedinosti su navedene na početnoj stranici istraživanja Meltdowna i Spectrea.

Najnoviji Linux kerneli redizajnirani su kako bi uklonili ove sigurnosne pogreške procesora. Stoga ažurirajte svoju verziju kernela i ponovno pokrenite poslužitelj za primjenu ažuriranja kao što je prikazano.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Nakon ponovnog pokretanja svakako ponovno skenirajte pomoću skripte spectre-meltdown-checker.sh.

Sažetak CVE-ova možete pronaći u Github repozitoriju spectre-meltdown-checker.