Linux のメルトダウン CPU の脆弱性を確認してパッチを適用する方法
メルトダウンは、ユーザー プログラムとオペレーティング システム間の最も基本的な分離を破壊するチップ レベルのセキュリティ脆弱性です。これにより、プログラムがオペレーティング システムのカーネルや他のプログラムのプライベート メモリ領域にアクセスし、パスワード、暗号キー、その他の機密情報などの機密データを盗むことが可能になります。
スペクターは、異なるプログラム間の分離を破壊するチップレベルのセキュリティ上の欠陥です。これにより、ハッカーはエラーのないプログラムを騙して機密データを漏洩させることができます。
これらの欠陥は、モバイル デバイス、パーソナル コンピューター、クラウド システムに影響を与えます。クラウド プロバイダーのインフラストラクチャによっては、他の顧客からデータにアクセスしたり盗んだりできる可能性があります。
Linux システムをスキャンして、カーネルにメルトダウン 攻撃とスペクター 攻撃に対する既知の適切な緩和策が導入されているかどうかを確認する便利なシェル スクリプトを発見しました。
spectre-meltdown-checker は、Linux システムが 3 つの「投機的実行」CVE ( > 一般的な脆弱性とエクスポージャー) は、今年初めに公開されました。実行すると、現在実行中のカーネルが検査されます。
オプションで、複数のカーネルをインストールしていて、実行していないカーネルを検査したい場合は、コマンド ラインでカーネル イメージを指定できます。
システム上でアドバタイズされているカーネル バージョン番号を考慮せずに、バックポートされた非バニラ パッチを含む緩和策の検出を大幅に試みます。正確な情報を取得するには、sudo コマンドを使用して、root 権限でこのスクリプトを起動する必要があることに注意してください。
git clone https://github.com/speed47/spectre-meltdown-checker.git
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh
上記のスキャンの結果から、テスト カーネルは 3 つの CVE に対して脆弱であることがわかります。さらに、これらのプロセッサのバグに関して注意すべき重要な点がいくつかあります。
- システムに脆弱なプロセッサがあり、パッチが適用されていないカーネルを実行している場合、情報漏洩の可能性なしに機密情報を扱うのは安全ではありません。
- 幸いなことに、Meltdown と Spectre に対するソフトウェア パッチがあり、詳細は Meltdown と Spectre 研究ホームページで提供されています。
最新の Linux カーネルは、これらのプロセッサのセキュリティ バグを解消するために再設計されています。したがって、カーネルのバージョンを更新し、サーバーを再起動
して、次のように更新を適用します。
sudo yum update [On CentOS/RHEL]
sudo dnf update [On Fedora]
sudo apt-get update [On Debian/Ubuntu]
pacman -Syu [On Arch Linux]
再起動後、spectre-meltdown-checker.sh スクリプトを使用して再度スキャンしてください。
CVE の概要は、spectre-meltdown-checker Github リポジトリから見つけることができます。