Com comprovar i corregir la vulnerabilitat de la CPU Meltdown a Linux

Meltdown és una vulnerabilitat de seguretat a nivell de xip que trenca l'aïllament més fonamental entre els programes d'usuari i el sistema operatiu. Permet a un programa accedir a les àrees de memòria privada del nucli del sistema operatiu i d'altres programes, i possiblement robar dades sensibles, com ara contrasenyes, claus criptogràfiques i altres secrets.

Spectre és un error de seguretat a nivell de xip que trenca l'aïllament entre diferents programes. Permet a un pirata informàtic enganyar programes sense errors perquè filtrin les seves dades sensibles.

Aquests defectes afecten els dispositius mòbils, els ordinadors personals i els sistemes de núvol; depenent de la infraestructura del proveïdor del núvol, podria ser possible accedir/robar dades d'altres clients.

Hem trobat un script d'intèrpret d'ordres útil que escaneja el vostre sistema Linux per verificar si el vostre nucli té les mitigacions correctes conegudes contra els atacs de Meltdown i Spectre.

Spectre-meltdown-checker és un senzill script d'intèrpret d'ordres per comprovar si el vostre sistema Linux és vulnerable davant les 3 CVE (vulnerabilitats i exposicions comuns) d'execució especulativa que es van fer públiques a principis d'any. Un cop l'executeu, inspeccionarà el vostre nucli en execució.

Opcionalment, si heu instal·lat diversos nuclis i voleu inspeccionar un nucli que no esteu executant, podeu especificar una imatge del nucli a la línia d'ordres.

Intentarà detectar de manera significativa les mitigacions, inclosos els pedaços retroportats que no són de vainilla, sense tenir en compte el número de versió del nucli anunciat al sistema. Tingueu en compte que hauríeu d'iniciar aquest script amb privilegis d'arrel per obtenir informació precisa mitjançant l'ordre sudo.

$ git clone https://github.com/speed47/spectre-meltdown-checker.git 
$ cd spectre-meltdown-checker/
$ sudo ./spectre-meltdown-checker.sh

A partir dels resultats de l'anàlisi anterior, el nostre nucli de prova és vulnerable als 3 CVE. A més, aquí hi ha alguns punts importants a tenir en compte sobre aquests errors del processador:

  • Si el vostre sistema té un processador vulnerable i executa un nucli sense pegat, no és segur treballar amb informació sensible sense la possibilitat de filtrar-la.
  • Afortunadament, hi ha pedaços de programari contra Meltdown i Spectre, amb detalls a la pàgina d'inici de recerca de Meltdown and Spectre.

Els darrers nuclis de Linux s'han redissenyat per eliminar aquests errors de seguretat del processador. Per tant, actualitzeu la vostra versió del nucli i reinicieu el servidor per aplicar les actualitzacions tal com es mostra.

$ sudo yum update      [On CentOS/RHEL]
$ sudo dnf update      [On Fedora]
$ sudo apt-get update  [On Debian/Ubuntu]
# pacman -Syu          [On Arch Linux]

Després de reiniciar, assegureu-vos d'escanejar de nou amb l'script spectre-meltdown-checker.sh.

Podeu trobar un resum dels CVE al repositori de Github del verificador d'espectre-meltdown-checker.