Cómo verificar y parchear la vulnerabilidad de la CPU Meltdown en Linux


Meltdown es una vulnerabilidad de seguridad a nivel de chip que rompe el aislamiento más fundamental entre los programas de usuario y el sistema operativo. Permite que un programa acceda a las áreas de memoria privada del kernel del sistema operativo y de otros programas, y posiblemente robe datos confidenciales, como contraseñas, claves criptográficas y otros secretos.

Spectre es una falla de seguridad a nivel de chip que rompe el aislamiento entre diferentes programas. Permite a un pirata informático engañar a programas sin errores para que filtren sus datos confidenciales.

Estas fallas afectan a los dispositivos móviles, computadoras personales y sistemas en la nube; Dependiendo de la infraestructura del proveedor de la nube, podría ser posible acceder/robar datos de otros clientes.

Nos encontramos con un script de shell útil que escanea su sistema Linux para verificar si su kernel tiene las mitigaciones correctas conocidas implementadas contra los ataques Meltdown y Spectre.

specter-meltdown-checker es un script de shell simple para verificar si su sistema Linux es vulnerable contra las 3 CVE (Vulnerabilidades y Exposiciones Comunes) de “ejecución especulativa” que se hicieron públicas a principios de este año. Una vez que lo ejecute, inspeccionará su kernel que se está ejecutando actualmente.

Opcionalmente, si ha instalado varios núcleos y desea inspeccionar un núcleo que no está ejecutando, puede especificar una imagen del núcleo en la línea de comandos.

Intentará significativamente detectar mitigaciones, incluidos los parches no vanilla retroportados, sin tener en cuenta el número de versión del kernel anunciado en el sistema. Tenga en cuenta que debe iniciar este script con privilegios de root para obtener información precisa, utilizando el comando sudo.

$ git clone https://github.com/speed47/spectre-meltdown-checker.git 
$ cd spectre-meltdown-checker/
$ sudo ./spectre-meltdown-checker.sh

A partir de los resultados del análisis anterior, nuestro núcleo de prueba es vulnerable a los 3 CVE. Además, aquí hay algunos puntos importantes a tener en cuenta sobre estos errores del procesador:

  • Si su sistema tiene un procesador vulnerable y ejecuta un kernel sin parches, no es seguro trabajar con información confidencial sin la posibilidad de filtrar la información.
  • Afortunadamente, existen parches de software contra Meltdown y Spectre, con detalles proporcionados en la página de inicio de investigación de Meltdown y Spectre.

Los últimos kernels de Linux se han rediseñado para eliminar estos errores de seguridad del procesador. Por lo tanto, actualice la versión de su kernel y reinicie el servidor para aplicar las actualizaciones como se muestra.

$ sudo yum update      [On CentOS/RHEL]
$ sudo dnf update      [On Fedora]
$ sudo apt-get update  [On Debian/Ubuntu]
# pacman -Syu          [On Arch Linux]

Después de reiniciar, asegúrese de escanear nuevamente con el script spectre-meltdown-checker.sh.

Puede encontrar un resumen de los CVE en el repositorio de Github de spectre-meltdown-checker.