Cómo comprobar y parchar la vulnerabilidad de la CPU de fusión en Linux


Meltdown es una vulnerabilidad de seguridad a nivel de chip que rompe el aislamiento más fundamental entre los programas de usuario y el sistema operativo. Permite que un programa acceda a las áreas de memoria privada del kernel del sistema operativo y otros programas, y posiblemente robe datos confidenciales, como contraseñas, claves criptográficas y otros secretos.

Specter es una falla de seguridad a nivel de chip que rompe el aislamiento entre diferentes programas. Permite a un pirata informático engañar a los programas sin errores para que filtren sus datos confidenciales.

Estas fallas afectan a dispositivos móviles, computadoras personales y sistemas en la nube; dependiendo de la infraestructura del proveedor de la nube, podría ser posible acceder/robar datos de otros clientes.

Encontramos un script de shell útil que analiza su sistema Linux para verificar si su kernel tiene las mitigaciones correctas conocidas en su lugar contra los ataques Meltdown y Specter .

specter-meltdown-checker es un script de shell simple para verificar si su sistema Linux es vulnerable contra los 3 “ ejecución especulativa CVEs > Vulnerabilidades y exposiciones comunes ) que se hicieron públicas a principios de este año. Una vez que lo ejecute, inspeccionará su kernel actualmente en ejecución.

Opcionalmente, si ha instalado varios kernels y desea inspeccionar un kernel que no está ejecutando, puede especificar una imagen del kernel en la línea de comandos.

Intentará de manera significativa detectar las mitigaciones, incluidos los parches no de vainilla con backporting, sin considerar el número de versión del kernel anunciado en el sistema. Tenga en cuenta que debe iniciar este script con privilegios de raíz para obtener información precisa, utilizando el comando sudo.

$ git clone https://github.com/speed47/spectre-meltdown-checker.git 
$ cd spectre-meltdown-checker/
$ sudo ./spectre-meltdown-checker.sh

A partir de los resultados de la exploración anterior, nuestro kernel de prueba es vulnerable a los 3 CVE . Además, aquí hay algunos puntos importantes a tener en cuenta sobre estos errores del procesador:

  • If your system has a vulnerable processor and runs an unpatched kernel, it is not safe to work with sensitive information without the chance of leaking the information.
  • Fortunately, there are software patches against Meltdown and Spectre, with details provided in Meltdown and Spectre research homepage.

Los últimos kernels de Linux se han rediseñado para evitar estos errores de seguridad del procesador. Por lo tanto, actualice la versión de su kernel y reinicie el servidor para aplicar las actualizaciones como se muestra.

$ sudo yum update      [On CentOS/RHEL]
$ sudo dnf update      [On Fedora]
$ sudo apt-get update  [On Debian/Ubuntu]
# pacman -Syu          [On Arch Linux]

Después de reiniciar, asegúrese de escanear nuevamente con el script spectre-meltdown-checker.sh .

Puede encontrar un resumen de las CVE en el repositorio Github de spectre-meltdown-checker.