Ricerca nel sito web

Come verificare e applicare patch alla vulnerabilità della CPU di fusione in Linux

Meltdown è una vulnerabilità di sicurezza a livello di chip che rompe l'isolamento fondamentale tra i programmi utente e il sistema operativo. Consente a un programma di accedere alle aree di memoria private del kernel del sistema operativo e di altri programmi e possibilmente di rubare dati sensibili, come password, chiavi crittografiche e altri segreti.

Spectre è una falla di sicurezza a livello di chip che rompe l'isolamento tra diversi programmi. Consente a un hacker di indurre programmi privi di errori a divulgare i propri dati sensibili.

Questi difetti colpiscono i dispositivi mobili, i personal computer e i sistemi cloud; a seconda dell’infrastruttura del fornitore di servizi cloud, potrebbe essere possibile accedere/rubare dati ad altri clienti.

Ci siamo imbattuti in un utile script di shell che scansiona il tuo sistema Linux per verificare se il tuo kernel ha in atto le misure correttive note contro gli attacchi Meltdown e Spectre.

spectre-meltdown-checker è un semplice script di shell per verificare se il tuo sistema Linux è vulnerabile ai 3 esecuzione speculativaCVE (Vulnerabilità ed esposizioni comuni) che sono state rese pubbliche all'inizio di quest'anno. Una volta eseguito, ispezionerà il kernel attualmente in esecuzione.

Facoltativamente, se hai installato più kernel e desideri ispezionare un kernel che non stai utilizzando, puoi specificare un'immagine del kernel sulla riga di comando.

Tenterà in modo significativo di rilevare le mitigazioni, comprese le patch non Vanilla sottoposte a backport, senza considerare il numero di versione del kernel pubblicizzato sul sistema. Tieni presente che dovresti avviare questo script con i privilegi di root per ottenere informazioni accurate, utilizzando il comando sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Dai risultati della scansione precedente, il nostro kernel di test è vulnerabile ai 3 CVE. Inoltre, ecco alcuni punti importanti da notare su questi bug del processore:

  • Se il tuo sistema ha un processore vulnerabile ed esegue un kernel senza patch, non è sicuro lavorare con informazioni sensibili senza la possibilità che tali informazioni vengano divulgate.
  • Fortunatamente, ci sono patch software contro Meltdown e Spectre, con i dettagli forniti nella home page della ricerca su Meltdown e Spectre.

Gli ultimi kernel Linux sono stati riprogettati per eliminare questi bug di sicurezza del processore. Pertanto aggiorna la versione del tuo kernel e riavvia il server per applicare gli aggiornamenti come mostrato.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Dopo il riavvio assicurati di eseguire nuovamente la scansione con lo script spectre-meltdown-checker.sh.

È possibile trovare un riepilogo dei CVE nel repository Github di spectre-meltdown-checker.