LinuxのメルトダウンCPUの脆弱性をチェックしてパッチを当てる方法


Meltdown はチップレベルのセキュリティ上の脆弱性で、ユーザープログラムとオペレーティングシステム間の最も根本的な分離を破ります。これにより、プログラムはオペレーティングシステムのカーネルや他のプログラムのプライベートメモリ領域にアクセスし、パスワード、暗号鍵、その他の機密情報などの機密データを盗むことができます。

ある[幽霊は、異なるプログラム間の分離を破るチップレベルのセキュリティ上の欠陥です。ハッカーがエラーのないプログラムを悪用して機密データを漏らすことを可能にします。

これらの欠陥は、モバイル機器、パーソナルコンピュータ、クラウドシステムに影響を及ぼします。クラウドプロバイダのインフラストラクチャによっては、他の顧客からのデータにアクセスしたり盗んだりする可能性があります。

Linuxシステムをスキャンして、 Meltdown および Spectre 攻撃に対してカーネルに既知の正しい緩和策が適用されているかどうかを確認する便利なシェルスクリプトを見つけました。

specter-meltdown-checker は、Linuxシステムが3つの「投機的実行」に対して脆弱性があるかどうかをチェックするための単純なシェルスクリプトです。今年の初めに公開された>一般的な脆弱性と暴露)。実行すると、現在実行中のカーネルを調べます。

複数のカーネルをインストールしていて、実行していないカーネルを調べたい場合は、オプションで、コマンドラインでカーネルイメージを指定できます。

システム上にアドバタイズされたカーネルのバージョン番号を考慮せずに、バックポートされた非バニラパッチを含む緩和策の検出を大幅に試みます。 sudoコマンドを使用して正確な情報を取得するには、このスクリプトをroot権限で起動する必要があります。

$ git clone https://github.com/speed47/spectre-meltdown-checker.git 
$ cd spectre-meltdown-checker/
$ sudo ./spectre-meltdown-checker.sh

上記のスキャンの結果から、私たちのテストカーネルは 3 CVE に対して脆弱です。さらに、これらのプロセッサのバグについて注意すべき重要な点がいくつかあります。

  • If your system has a vulnerable processor and runs an unpatched kernel, it is not safe to work with sensitive information without the chance of leaking the information.
  • Fortunately, there are software patches against Meltdown and Spectre, with details provided in Meltdown and Spectre research homepage.

最新のLinuxカーネルは、これらのプロセッサセキュリティバグを解消するために再設計されました。したがって、表示されているように、カーネルのバージョンを更新し、サーバーを再起動して更新を適用します。

$ sudo yum update      [On CentOS/RHEL]
$ sudo dnf update      [On Fedora]
$ sudo apt-get update  [On Debian/Ubuntu]
# pacman -Syu          [On Arch Linux]

再起動後、 spectre-meltdown-checker.sh スクリプトで再度スキャンするようにしてください。

CVEの概要はspecter-meltdown-checker Githubリポジトリから見つけることができます。