Zoeken op website

Hoe u de kwetsbaarheid van Meltdown CPU in Linux kunt controleren en oplossen

Meltdown is een beveiligingsprobleem op chipniveau dat de meest fundamentele isolatie tussen gebruikersprogramma's en het besturingssysteem doorbreekt. Hiermee kan een programma toegang krijgen tot de privégeheugengebieden van de kernel van het besturingssysteem en andere programma's en mogelijk gevoelige gegevens stelen, zoals wachtwoorden, cryptosleutels en andere geheimen.

Spectre is een beveiligingsfout op chipniveau die de isolatie tussen verschillende programma's doorbreekt. Hiermee kan een hacker foutloze programma's misleiden zodat ze hun gevoelige gegevens lekken.

Deze gebreken zijn van invloed op mobiele apparaten, personal computers en cloudsystemen; Afhankelijk van de infrastructuur van de cloudprovider kan het mogelijk zijn om toegang te krijgen tot gegevens van andere klanten of deze te stelen.

We kwamen een handig shellscript tegen dat je Linux-systeem scant om te verifiëren of je kernel over de bekende juiste maatregelen beschikt tegen Meltdown- en Spectre-aanvallen.

spectre-meltdown-checker is een eenvoudig shellscript om te controleren of je Linux-systeem kwetsbaar is tegen de 3 “speculatieve uitvoeringCVE's ( >Gemeenschappelijke kwetsbaarheden en blootstellingen) die begin dit jaar openbaar werden gemaakt. Zodra u het uitvoert, inspecteert het uw momenteel actieve kernel.

Als u meerdere kernels hebt geïnstalleerd en u een kernel wilt inspecteren die u niet gebruikt, kunt u optioneel een kernelimage opgeven op de opdrachtregel.

Het zal aanzienlijk proberen oplossingen te detecteren, inclusief backported non-vanilla-patches, zonder rekening te houden met het kernelversienummer dat op het systeem wordt geadverteerd. Merk op dat u dit script met rootrechten moet starten om nauwkeurige informatie te krijgen, met behulp van de sudo-opdracht.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Uit de resultaten van de bovenstaande scan blijkt dat onze testkernel kwetsbaar is voor de 3 CVE's. Daarnaast zijn hier enkele belangrijke punten om op te merken over deze processorbugs:

  • Als uw systeem een kwetsbare processor heeft en een kernel zonder patch draait, is het niet veilig om met gevoelige informatie te werken zonder de kans dat de informatie lekt.
  • Gelukkig zijn er softwarepatches tegen Meltdown en Spectre, met details op de onderzoeksstartpagina van Meltdown en Spectre.

De nieuwste Linux-kernels zijn opnieuw ontworpen om deze processorbeveiligingsbug te verhelpen. Update daarom uw kernelversie en reboot de server om updates toe te passen, zoals weergegeven.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Zorg ervoor dat u na het opnieuw opstarten opnieuw scant met het script spectre-meltdown-checker.sh.

U kunt een samenvatting van de CVE's vinden in de spectre-meltdown-checker Github-repository.