Kako provjeriti i zakrpiti ranjivost procesora Meltdown u Linuxu

Meltdown je sigurnosna ranjivost na nivou čipa koja razbija najosnovniju izolaciju između korisničkih programa i operativnog sistema. Omogućava programu da pristupi privatnim memorijskim područjima kernela operativnog sistema i drugih programa i eventualno ukrade osjetljive podatke, kao što su lozinke, kripto ključevi i druge tajne.

Spectre je sigurnosni propust na nivou čipa koji razbija izolaciju između različitih programa. Omogućava hakeru da prevari programe bez grešaka da procure njihove osjetljive podatke.

Ovi nedostaci utiču na mobilne uređaje, personalne računare i cloud sisteme; ovisno o infrastrukturi provajdera u oblaku, možda će biti moguće pristupiti/ukrasti podatke od drugih korisnika.

Naišli smo na korisnu shell skriptu koja skenira vaš Linux sistem kako bi provjerila da li vaš kernel ima poznate ispravne mjere ublažavanja protiv Meltdown i Spectre napada.

spectre-meltdown-checker je jednostavna shell skripta za provjeru da li je vaš Linux sistem ranjiv na 3 “spekulativno izvršenjeCVE (Uobičajene ranjivosti i izloženosti) koji su objavljeni početkom ove godine. Kada ga pokrenete, on će pregledati vaš trenutno pokrenut kernel.

Opciono, ako ste instalirali više kernela i želite da pregledate kernel koji ne pokrećete, možete odrediti sliku kernela u komandnoj liniji.

Značajno će pokušati da otkrije ublažavanja, uključujući backported ne-vanilla zakrpe, ne uzimajući u obzir broj verzije kernela oglašen na sistemu. Imajte na umu da biste trebali pokrenuti ovu skriptu sa root privilegijama da biste dobili tačne informacije, koristeći naredbu sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Prema rezultatima gornjeg skeniranja, naše testno jezgro je ranjivo na 3 CVE-a. Pored toga, evo nekoliko važnih tačaka koje treba napomenuti o ovim greškama procesora:

  • Ako vaš sistem ima ranjiv procesor i pokreće jezgro bez zakrpe, nije bezbedno raditi sa osetljivim informacijama bez mogućnosti curenja informacija.
  • Srećom, postoje softverske zakrpe protiv Meltdowna i Spectrea, s detaljima navedenim na početnoj stranici istraživanja Meltdowna i Spectre.

Najnoviji Linux kerneli su redizajnirani kako bi se defangirali ove sigurnosne greške procesora. Stoga ažurirajte svoju verziju kernela i restartujte server da biste primijenili ažuriranja kao što je prikazano.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Nakon ponovnog pokretanja obavezno skenirajte ponovo sa skriptom spectre-meltdown-checker.sh.

Sažetak CVE-ova možete pronaći u Github repozitoriju spectre-meltdown-checker.