Pesquisa de site

Como verificar e corrigir a vulnerabilidade da CPU Meltdown no Linux

Meltdown é uma vulnerabilidade de segurança em nível de chip que quebra o isolamento mais fundamental entre os programas do usuário e o sistema operacional. Ele permite que um programa acesse as áreas de memória privada do kernel do sistema operacional e de outros programas e possivelmente roube dados confidenciais, como senhas, chaves criptográficas e outros segredos.

Spectre é uma falha de segurança em nível de chip que quebra o isolamento entre diferentes programas. Ele permite que um hacker engane programas livres de erros para que vazem seus dados confidenciais.

Estas falhas afetam dispositivos móveis, computadores pessoais e sistemas em nuvem; dependendo da infraestrutura do provedor de nuvem, pode ser possível acessar/roubar dados de outros clientes.

Encontramos um script de shell útil que verifica seu sistema Linux para verificar se o seu kernel possui as mitigações corretas conhecidas contra ataques Meltdown e Spectre.

spectre-meltdown-checker é um script de shell simples para verificar se o seu sistema Linux é vulnerável contra os 3 CVEs de “execução especulativa” ( >Vulnerabilidades e exposições comuns) que foram tornados públicos no início deste ano. Depois de executá-lo, ele inspecionará o kernel em execução no momento.

Opcionalmente, se você instalou vários kernels e deseja inspecionar um kernel que não está executando, você pode especificar uma imagem do kernel na linha de comando.

Ele tentará significativamente detectar mitigações, incluindo patches não-vanilla portados, sem considerar o número da versão do kernel anunciado no sistema. Observe que você deve iniciar este script com privilégios de root para obter informações precisas, usando o comando sudo.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

A partir dos resultados da verificação acima, nosso kernel de teste é vulnerável aos 3 CVEs. Além disso, aqui estão alguns pontos importantes a serem observados sobre esses bugs do processador:

  • Se o seu sistema tiver um processador vulnerável e executar um kernel sem patch, não é seguro trabalhar com informações confidenciais sem a chance de vazar as informações.
  • Felizmente, existem patches de software contra Meltdown e Spectre, com detalhes fornecidos na página inicial de pesquisa do Meltdown e Spectre.

Os kernels Linux mais recentes foram redesenhados para eliminar esses bugs de segurança do processador. Portanto atualize a versão do seu kernel e reinicie o servidor para aplicar as atualizações conforme mostrado.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Após a reinicialização, certifique-se de verificar novamente com o script spectre-meltdown-checker.sh.

Você pode encontrar um resumo dos CVEs no repositório Github do spectre-meltdown-checker.