Búsqueda de sitios web

Cómo comprobar y parchear la vulnerabilidad de la CPU Meltdown en Linux

Meltdown es una vulnerabilidad de seguridad a nivel de chip que rompe el aislamiento más fundamental entre los programas del usuario y el sistema operativo. Permite que un programa acceda a las áreas de memoria privada del kernel del sistema operativo y de otros programas, y posiblemente robe datos confidenciales, como contraseñas, claves criptográficas y otros secretos.

Spectre es una falla de seguridad a nivel de chip que rompe el aislamiento entre diferentes programas. Permite a un pirata informático engañar a programas sin errores para que filtren sus datos confidenciales.

Estas fallas afectan a dispositivos móviles, computadoras personales y sistemas en la nube; Dependiendo de la infraestructura del proveedor de la nube, es posible acceder o robar datos de otros clientes.

Nos encontramos con un útil script de shell que escanea su sistema Linux para verificar si su kernel cuenta con las mitigaciones correctas conocidas contra los ataques Meltdown y Spectre.

spectre-meltdown-checker es un script de shell simple para verificar si su sistema Linux es vulnerable contra los 3 CVE de “ejecución especulativa” (Vulnerabilidades y exposiciones comunes) que se hicieron públicas a principios de este año. Una vez que lo ejecute, inspeccionará su kernel actualmente en ejecución.

Opcionalmente, si ha instalado varios núcleos y desea inspeccionar un núcleo que no está ejecutando, puede especificar una imagen del núcleo en la línea de comando.

Intentará significativamente detectar mitigaciones, incluidos parches no básicos respaldados, sin considerar el número de versión del kernel anunciado en el sistema. Tenga en cuenta que debe iniciar este script con privilegios de root para obtener información precisa mediante el comando sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Según los resultados del análisis anterior, nuestro núcleo de prueba es vulnerable a los 3 CVE. Además, aquí hay algunos puntos importantes a tener en cuenta sobre estos errores del procesador:

  • Si su sistema tiene un procesador vulnerable y ejecuta un kernel sin parches, no es seguro trabajar con información confidencial sin la posibilidad de filtrarla.
  • Afortunadamente, existen parches de software contra Meltdown y Spectre, cuyos detalles se proporcionan en la página de inicio de investigación de Meltdown y Spectre.

Los últimos kernels de Linux han sido rediseñados para solucionar estos errores de seguridad del procesador. Por lo tanto, actualice la versión de su kernel y reinicie el servidor para aplicar las actualizaciones como se muestra.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Después de reiniciar, asegúrese de escanear nuevamente con el script spectre-meltdown-checker.sh.

Puede encontrar un resumen de los CVE en el repositorio de Github de spectre-meltdown-checker.