网站搜索

如何检查并修补 Linux 中的 Meltdown CPU 漏洞


Meltdown是一种芯片级安全漏洞,它打破了用户程序和操作系统之间最基本的隔离。它允许程序访问操作系统内核和其他程序的私有内存区域,并可能窃取敏感数据,例如密码、加密密钥和其他秘密。

Spectre是一个芯片级安全漏洞,它打破了不同程序之间的隔离。它使黑客能够欺骗无错误的程序来泄露其敏感数据。

这些缺陷影响移动设备、个人电脑和云系统;根据云提供商的基础设施,可能会访问/窃取其他客户的数据。

我们发现了一个有用的 shell 脚本,它可以扫描您的 Linux 系统,以验证您的内核是否针对 MeltdownSpectre 攻击采取了已知的正确缓解措施。

spectre-meltdown-checker 是一个简单的 shell 脚本,用于检查您的 Linux 系统是否容易受到 3 个“推测执行CVE 的攻击( >常见漏洞和暴露)已于今年年初公开。一旦你运行它,它将检查你当前正在运行的内核。

或者,如果您安装了多个内核并且想要检查未运行的内核,则可以在命令行上指定内核映像。

它将大力尝试检测缓解措施,包括向后移植的非普通补丁,而不考虑系统上公布的内核版本号。请注意,您应该使用 sudo 命令以 root 权限启动此脚本以获得准确的信息。

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

从上述扫描结果来看,我们的测试内核容易受到 3 个 CVE 的攻击。此外,关于这些处理器错误,还有一些需要注意的要点:

  • 如果您的系统具有易受攻击的处理器并运行未打补丁的内核,则在没有泄露信息的情况下处理敏感信息是不安全的。
  • 幸运的是,有针对 Meltdown 和 Spectre 的软件补丁,Meltdown 和 Spectre 研究主页中提供了详细信息。

最新的 Linux 内核已经过重新设计,以消除这些处理器安全漏洞。因此,请更新您的内核版本并重新启动服务器以应用更新,如图所示。

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

重新启动后,请确保使用 spectre-meltdown-checker.sh 脚本再次扫描。

您可以从 spectre-meltdown-checker Github 存储库中找到 CVE 的摘要。